fbpx

「8文字パスワードは危険!」最新研究から安全で覚えやすいパスワードの作り方を知ろう

長くて安全なパスワードを作るヒント
パスワードには古い危ない常識が残っています。
今では「8文字(8桁)のパスワード」は危険で、逆に強いパスワードなら定期的な変更は必要ありません。
最新情報から「長いパスワードの必要性」と「簡単で忘れにくいパスワードの作り方」そして「簡単にパスワードを作って楽に管理する方法」まで、豊富な実例とともにやさしくお教えします。
/ins>

安全なパスワードとは何か?

パスワード解読時間を計ってみると?

有名なセキュリティ会社のKasperskyがパスワードを入力するだけで、家庭用のパソコンで解読までの時間を計って強度を算定してくれるサービスを提供しています。

ぜひ試してみてください!

数字の6文字なんて「あっという間に解読」です。

 

パスワードに複雑さは不要、長いほど良い!

結論から言うと、最新の研究では、安全なパスワードとは「できるだけ長く、推測されない単語や文字の集まりにする」ことです。

つまり、

  • 6~8文字では、記号や大/小文字を混ぜて作っても、すぐに解読されて、ほとんど無意味!
  • 「長く文字数の多いパスワード」なら、大文字小文字、記号といった文字種は関係なく安全になる
  • 文字数については現在のコンピューターの能力を考えると少なくとも10から12文字は必要。

です。

しかしパソコンやIT機器はどんどん高速化が進んでいますので、未来に備えてDigital Keeperでは「最低14文字以上」をお勧めしています。

もちろん長ければ長いほど良いですが、「14文字以上あれば、今のパスワードに変わる安全な認証方法が普及するまで、十分に対応できる」と思われます。

「えっ!14文字以上?そんな長いの覚えきれない」とお思いでしょうが、正しいパスワードの作り方を学べば、逆に短いパスワードを作る方が難しくなりますよ!

ブログ内の関連記事(新しいウィンドウで開きます)

「パスワードは文字種を組み合わせ8文字(8桁)以上、時々変更しよう」。これは古い危険な情報です。内外の最新の解析や研究を検証した結果は「8文字パスワードは強度不足!」。また「強いパスワードを設定したら二度と変更の必要なし!」。パスワード[…]

パスワードをあらゆる手段で盗み出すハッカーのイメージ

 

パスワードの古い常識を捨てよう!

最新のパスワード研究により過去の常識はくつがえされています。以下の3点は全く古い常識です。きっぱりと忘れてしまいましょう。

【パスワードの誤解その1】~パスワードは8文字で~

8文字のパスワードでは、文字種を組み合わせでも、今では2時間半もあれば普通に解読できます

高速な手法でさらに短縮しますし、機器の高速化はどんどん進んでいます。

また8文字では、身近に人が、隙にのぞき見たり(ショルダーハック)、あなたの個人情報から推測してパスワードの解読を試みる(ソーシャルエンジニアリング)リスクもあります。

今はとても8文字では安全とは言えません!

ブログ内の関連記事(新しいウィンドウで開きます)

ショルダーハックはもっとも身近で、実はもっとも多くの被害を生み出しているサイバー犯罪です。ショルダーハックのやり方にはどんなものがあるか?過去の事件や事例を元に、被害を防ぐ対策や具体的な防止策をやさしく解説します。身近な犯罪「ショル[…]

ショルダーハックのイメージ

【パスワードの誤解その2】~パスワードは英数字の大小文字と記号を組み合わせた複雑ものに

「いろいろな文字種の長いパスワードを人が覚えるのは不可能」なため、結局パスワード使い回しを助長してしまいます。

近年の研究や実験により、パスワードの安全のためには「複雑さより、長さの方がはるかに効果的」なことが明らかになってします。

【パスワードの誤解その3】~パスワードは定期的な変更が必要

覚えきれないパスワードをしばしば変更させられては、「ますます安易なパスワードを使い回す」という本末転倒になってしまいます。

強いパスワードをいったん設定してしまえば、変更する必要はありません

マイクロソフトも日本の総務省も同様に表明しています

 

まず、記憶できる強力なパスワードの作りの基本を学ぶ

単語は使わず、フレーズを使ってパスワードを作ろう!

今さら「123456」はないでしょうが、パスワードには決して使ってはいけない単語があります。

それらの単語は「有名人の名前、スポーツ団体、地名」など誰もが思いつく固有名詞から、人名、誕生日など過去パスワードに使われていて、ハッカー達のパスワードリストに含まれているような単語です。

詳しくは以下の記事をご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)

パスワードには「使っただけで危険」な単語や、避けるべき文字の使い方。組み合わせ方があります。安全なパスワードのため、まず「悪いパスワード例」「危険な単語」「危険な組み合わせ」を知りましょう。危険な単語を使ったパスワードはいずれ破られて悪[…]

ブログ内の関連記事(新しいウィンドウで開きます)

「簡単なパスワード」や「使い回したパスワード」を使うことは「自宅の鍵をばらまく」に等しい最も危険な行為です。しかし不正ログインなど多くのサイバー犯罪の原因にもかかわらず、相変わらず危険なパスワードを使ってしまう人はなくなりません。2[…]

【2020最新】「最悪のパスワードのリスト」~使ってはダメなパスワード上位50

しかし正直なところ、これらの単語を使わないようにすると、とても記憶できません。

ではどうするか?

それは「単語ではなく、フレーズを使うこと」です!

 

「思いついたフレーズを日本語で!」をパスワードづくりの基本にしよう

1 外国語でなく日本語を使うメリット

パスワードには「日本語のフレーズ」を利用することが最適です。
なぜならパスワードを狙うハッカーたちは外国人なので、彼らにとって少数言語の日本語は聞きなれない言葉だからです。

ハッカーの所有する膨大なパスワードリストにも日本語の単語は比較的少数でしょう。

ただし日本語そのままの文字はアカウントには使えませんので、ローマ字に変換することになります。
その際にあえて世界標準に近いヘボン式(し=shiと表記)を使わず、小学校で習った訓令式(し=siと表記)で記載するのも、より効果的です。

2 お好きな日本語のフレーズをローマ字にして、自分のルールで偽装(文字の置き換え)工作する

ローマ字をそのまま記載しても10文字以上あれば十分な強度があります。
しかし万一のことを考えて、自分流にアレンジした偽装工作をほどこしましょう

アレンジの方法は以下のようなものですが、それほどたくさんはいりません。
覚えることのできる範囲で、自分なりに「マイルール」を決めて、常に同じ法則で置き換えるようにしてください。

きっとすぐに慣れますよ。

偽装ルール記載例
マイルール1.
形の似た文字や記号に置き換える
a→@、i→1、z→2、o→0、s→3など
マイルール2.
似た音の数字や記号に置き換える
to→2。go→5。to「とお」→10、shi→4
マイルール3.
決まった記号を付け加える
1.2.の置き換えをした文字に必ず決めた記号「[ ]{ }$ # !」を付ける
スペースの代わりに#を入れる

この偽装方法を使って古文で習った清少納言の「枕草子」の冒頭をパスワード化してみました。
「15桁の立派なパスワード」のできあがりです!

偽装ルール記載例
1.元のフレーズ「春はあけぼの」(枕草子の冒頭の1文)
2.ローマ字化haruhaakebono
3.ルール1  aを@へ。oを0にh@ruh@akeb0n0
4.ルール2  最初の置換文字の前に # 、最後の置換文字の前後の文字を大文字にするh#@ruh@akeb0N0  (14文字の強固なパスワードの完成)

 

日本語パスワードフレーズの具体的作成例

上記のルールを使えば、好きな文章、思いついたフレーズで、どんどんパスワードを作ることができます。

例えば有名な小説の冒頭の文から、、、、

■夏目漱石~「吾輩は猫である」→ w#@g@h@ih@nekodE@Ru (20字)

■川端康成の雪国~「トンネルを抜けるとそこは」→ t#0nneru0nukeru10s0K0Ha (24字)

という風に、長くて複雑だけどなんとか覚えられるパスワードがいくらでもできます。
※念のためここに上げた用例は実際には使わないようにお願いします。

このような方法で覚えられる複雑なパスワードを気楽に作ってみてください。

 

コアパスワードに自分の「マイルール」を追加して、いろいろなパスワードを作ろう

こうして基本のコアバスワードをいくつか作り、しっかりと覚えましょう

あとは、コアパスワードに規則的な単語を加えてバリエーションを作って多くのアカウントを設定してきます。

アカウントの重要性で使い分けても良いでしょう。

1 バリエーションの作り方例:その1 ~ IPA推奨「コアパスワード+秘密のサービスコード」方式

IPA(独立行政法人情報処理推進機構)の 不正ログイン被害の原因となるパスワードの使い回しはNG ~ちょっとした工夫でパスワードの使い回しを回避~  で紹介されている方法です。

コアとなる長くて安全なパスワードに、各サービスを自分なりのルールで記号化した「秘密サービスコード」を付加して使う方式。

コアパスワードだけはしっかり記憶しますが、秘密サービスコードだけではパスワードになりませんので、無理に覚えなくても、メモに書いて持ち歩き、その都度見ながら入力しても安心です。

■引用元:IPA  不正ログイン被害の原因となるパスワードの使い回しはNG ~ちょっとした工夫でパスワードの使い回しを回避~  

2  さらに強力なバリエーションの作り方例:その2~「コアパスワードにサービスコードをまぶす」方式

サービス名を一定ルールで記号化し、コアパスワードにまぶすことで、より機密性を高める手法です。

コアパスワード(春はあけぼの)h#@ruh@akeb0N0
サービス名(例 Amazon)の子音を取る。Amazon  → mzn
コアパスワードの冒頭からサービス名を一文字ずつ「まぶす」mhz#n@ruh@akeb0N0

上記の方法は例にすぎません。

ご自身の思いついた「好きな言葉」と「マイルールにもとづいたバリエーションつくり」を組み合わせて、安全で覚えやすいパスワードを作ってください。

次項では、実際のパスワード作り方を順を追ってご紹介します。

 

 

最強のパスワードの作り方の応用レッスン

1.単一の言葉(パスワード)ではなく、複数の単語をつなげてパスワードフレーズを作ろう

お孫さんの名前を使った安心のパスワードフレーズ作りの実例

さて「推測されやすい悪いパスワード例」としてよく挙げられるのが「お子さんやお孫さんの名前+誕生日」

たとえば

お孫さんの名前が「結月ちゃん」で誕生日が「5月5日」→ yutsuki0505  (11文字)

 ×これだけでは、あなたのSNSの書き込みや個人情報を調べて容易に推測されてしまいます

でもこれに

もう一人のお孫さん、蓮くん、11月10日」の名前と誕生日を繋げて → yutsuki0505ren1110  (18文字)

と、

長くて立派なパスワードになります

さらに

ご自身の「マイルール:二人の名前の間に  ! を入れる」で作る → yutsuki0505!ren1110  (19文字)

さらに強力になって、他人には全く推測不能です。

 

2.パスワードに使うフレーズは覚えやすければ、どんなものでも構わない

このように複数の単語を繋げる手法はどんな言葉にでも応用できますから、いくらでも生み出せます。

しかもマイルールを追加して、少しだけひねって生成するだけでさらに強力になります。

  • 自分が住んできた町の名前をつなげる 「高崎」「練馬」「世田谷」
    → takasaki-nerima-setagaya (25文字、マイルール「」でつなげる)
  • 自分の好きな食べ物をつなげる 「ラーメン」「餃子」「ビール」
    → ramen#gyouza#beer (17文字、マイルール「#」でつなげる)

 

3.親しんでいる文章や格言、決めセリフをマイルールで「ひとひねり」する

パスワードにする言葉は文章や名文句、ことわざ格言、何でも使えます。

日本語をそのままローマ字にしてもかまいませんし、マイルールで一部を記号や数字に置き換えると完璧です。

「昔読んだ小説の一節」でも、「アニメの主人公の決めセリフ」でも何でも構いません。

ご自分が覚えやすい「記憶に刻まれた言葉」にしてください。

無数の候補がありますから推測される可能性は低いですが、念のため「自分だけが知ってるマイルール」で「ひとひねり」すれば良いだけです。

  • 犬も歩けば棒に当たる →inumoarukebabo-niataru(22文字、マイルールで boubo-と読み替えています)
  • 月にかわっておしおきよ !→tsukinikawatte0shi0kiy0! (23文字、マイルールでo0に替えて「!」つけてます)
  • 夏までにあと4キロやせるぞ!na2made2ato4kirooyaseruzo! (17文字、マイルールでtsu2ni2、最後に「!」をつけてます)

 

「パスワードの文字数の制限がある」サービスは使わない!

以上の方法では短いパスワードを作ることはかえって難しく、簡単に20文字近くのパスワードが作れます。

ところが今でも「パスワードは10文字以内」「パスワードは数字だけ」などと、大昔の基準でパスワードに制約をかけているサービスがあります。

このようなサイトは

  • 国も推奨する最新のパスワードの安全ルールを無視しているセキュリティ意識の低いサービス

です。おそらくシステムも時代遅れで不備があり、情報流出の恐れも高いでしょう。

そんなサービスは「使わない方が無難」です!

「君子危うきに近寄らず」!これもパスワードに使えそうな格言ですね。

 

作ったパスワードをどうやって管理するか?

長い安全なパスワードでも、覚えられなければ無意味!

人間の記憶は限られています。

たくさんあるアカウントごとに作ったパスワードを覚えることはとうていできません?
そこで「パスワードの管理方法」を整備する必要があります。

「パスワードそのものが書かれたリストを持ち歩く」のは絶対にやめましょう

IDとパスワードがセットで流出したら、あなたのアカウントはそのまま悪用されてします。
たとえば、、

  • 「IDとパスワードは忘れないように手帳に書き留めている」
  • 「スマホのメールの下書きの中に密かに記入している」

人は多いでしょう。しかし絶対にやめてください

災害や紛失や盗難されるリスクだけでなく、パスワードの盗用は実は身近な人によって引き起こされていることを忘れてはいけません。

ブログ内の関連記事(新しいウィンドウで開きます)

ショルダーハックはもっとも身近で、実はもっとも多くの被害を生み出しているサイバー犯罪です。ショルダーハックのやり方にはどんなものがあるか?過去の事件や事例を元に、被害を防ぐ対策や具体的な防止策をやさしく解説します。身近な犯罪「ショル[…]

ショルダーハックのイメージ

IDは一般的にメールアドレスが使われることが多いため隠しようがありませんが、パスワードをそのまま書き留めることだけはやめましょう。

せめてExcelやWordのファイルに記載して安全な場所にパスワード付で保存すべきです。

 

パスワードは「記憶と記録に分散」させて安全を守るのがおすすめ

大切な情報はひとつにまとめないで、複数に分割して分散して保管(多要素分散保管)することで、リスクを確実に減らす事ができます。

この考え方については下記のブログ記事をご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)

アカウントの本人認証を、パスワードだけでなく複数の方法を組み合わせて行う「二段階認証」の大切さは何度もお話ししています。この考え方を応用するとアカウントの保護だけでなく、あなたの大切な物や機密情報の保管の際にも役に立ちます。実は[…]

多要素認証・二段階認証のイラスト

そこでお薦めするのが、パスワードを3つの要素に分けて作り、「記憶」と「記録」の管理を組み合わせて、安全に管理する以下の方法です。

  1. 長いパスワードをあなただけが知っている「マスターパスワード」と「秘密コード」、そしてアカウントを区別する「アカウントコード」を組み合わせて作る。
  2. 「マスターパスワード」「秘密コード」の2つだけはしっかりと記憶して、絶対に外部に知られないようする。
  3. アカウントを区別する「アカウントコード」だけは表にまとめて持ち歩き、必要なときに参照する。

具体的には次項でご説明します。

 

「記憶と記録の分散」によるパスワードの作り方と管理の方法は?

1.メインのパスワードを決めてしっかりと記憶する。

上に書いたように長いパスフレーズとマイルールを組み合わせて、強くて忘れないパスワードをひとつ作りましょう

例) 自分が住んできた町の名前「練馬」「世田谷」をマイルール「」でつなげてマスターパスワードを作る

 → nerima-setagaya (15文字)

2.アカウントごとのコードを作る。

アカウントごとにひとつのコードを作りましょう。
キーワードはあえて類推されにくいものにするほうが、ベターです。

例) Facebookのアカウントコード→「A01457」、Googleのアカウントコード「B02341」、Twitterのアカウントコード「576C」、、

3.全パスワードに共通に使う「秘密のコード」を作りしっかりと記憶する。

複雑で類推できない「秘密コード」をひとつだけ作ってください。

例) 秘密コードは 103@s%#de9」 にした

4.こうして生成したパスワードをアカウントに設定する。

3つの要素を組み合わせてパスワードを作り、各アカウントに設定します。

例)
Facebookのパスワード→「nerima-setagayaA01457103@s%#de9
Googleのパスワード→「nerima-setagayaB0234103@s%#de9
Twitterのパスワード→「nerima-setagaya576C103@s%#de9

5.アカウントコードだけリストにして持ち歩く

持ち歩くのは「アカウントコードを記入したリスト」だけにします

他人がこれを見ても、何も悪用できません。

念のため、秘密のコードは時々変更すれば一層安全です。

万一変更するときも、パスワード全体を変えることに比べるとずっと楽です。

推測しようにも、あなただけが記憶している2つの複雑なコードを当てることは不可能です。

万一パスワードが流出した危険がある時は、あわてずに各アカウントの「秘密コード」だけを変更しましょう。

ブログ内の関連記事(新しいウィンドウで開きます)

サイバー犯罪の防止するために「パスワードの使い回し」は最悪の行為で絶対にやめるべきものです。ところが2020年8月トレンドマイクロ社の調査では、新型コロナ対策の影響でネットの取り扱いやWEBサービスの利用は大きく増加したにもかかわらず、[…]

 

パスワードマネージャー(パスワード管理ツール)使用のすすめ

パスワードマネージャー(パスワード管理ツール/アプリ)がすべての問題を解決してくれる

上記でご紹介した方法ならば、ある程度の数が多くなってもなんとか対応できます。

しかしアカウントが50以上もあったら「アカウントコード」はとても覚えきれませんし、毎回リストを参照するのも大変です。

Digital Keeperがおすすめするのは、やはり「パスワードマネージャー(パスワード管理ツール/アプリ)」の使用です。

【メリット1】パスワードを使う「安全性」と「便利さ」を両立してくれる優れもの

パスワードマネージャー(パスワード管理ツール)を使うためのマスターパスワードをひとつ覚えておくだけで、以下のような機能を提供してくれます。

  1. あなたに代わってアカウントのIDやパスワードを安全・確実に記録し保管する。
  2. スマホ(iPhone、Android)でもパソコンでも、アプリでも、すべての端末やサービスで利用できる。
  3. あなたがアカウントを使う時、記録したIDやパスワードのアカウント情報を呼び出し、教えてくれる。
  4. 新規にアカウントを作るとき、あなたの代わりに「安全で推測不可能なパスワード」を生成して提案し保管してくれる。

【メリット2】重要情報の保管場所としても最適

またIDとパスワードの管理だけでなく、さまざまな重要情報、秘密情報もありますが、パスワードマネージャー(パスワード管理ツール)は、情報の安全な秘密金庫としての役割も果たしてくれます。

  • 預かっているアカウント情報をチェックし、安全度が低いパスワードや、流出しているアカウントの情報を教え、変更をすすめてくれる。
  • アカウント情報だけでなく、クレジッカード情報や銀行口座情報などの機密情報を安全に保管し、「支払でカード情報を入力」「住所を入力」する時、あなたに代わって入力を代行してくれる。
  • 安全に保管したいデータ(文字情報、ExcelやWordのデータファイルなどPCで扱える形式のもの)を、安全に保管する情報金庫の機能もある。

 

以上のような便利な機能に加え、パスワードマネージャー(パスワード管理ツール)のアカウント情報だけを、継承者に伝えることができれば、デジタル終活もほとんどこれで終えることができるのです。

今やパスワードマネージャーを使わない理由はありません!!

またパスワードマネージャー(パスワード管理ツール)は大変安全に作られており、自分で管理するよりはるかに確実で安心できますよ。

詳しくは当ブログの記事をご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)

強固なパスワードをあなたに代わって生成し安全に保管し、入力も代行してくれる「パスワードマネージャー(パスワード管理ツール)」は、パスワードに関する悩みを解消するだけでなく、秘密情報の保管場所としても利用できる、まさに現代の必需品です。今[…]

ブログ内の関連記事(新しいウィンドウで開きます)

「大切なパスワードをパスワードマネージャー(パスワード管理ツール)なんかに預けて大丈夫?」「クラウド保管は危ないのでは?」と不安な方も多いと思います。しかし実はパスワード管理はツールやクラウドを使った方がはるかに安全で便利です。現実的に[…]

 

★★少しでも不安を感じたら、パソコンやスマホをセキュリティーソフトで検査しましょう!

「マルウェアや不正ソフト/アプリをインストールしたかも?と思ったら」すぐ検査

Androidスマホやパソコンを使っていて、少しでも不審を感じたときは「信頼できるセキュリティソフトでパソコンやスマホをスキャンし駆除」が、個人ができる最善の対処方法です。

まだ入れていない方は無料で使える大手の有名セキュリティソフトを使いましょう。

※どの製品も30日程度、製品版と同等に無料試用ができます。
不正なアプリやマルウェアがないかスキャンして調査、発見された場合は駆除してください。

※iPhoneやiPadなどiOSの機器は安全でセキュリティソフトは不要とされ、存在していません。

※セキュリティ対策ソフトは無料試用後も引き続きお使いになるよう強くお薦めします

また念のためスマホのキャリア決済やクレジットカードの利用履歴などを不正利用されていないかも調べてください。不審な場合はすぐに発行元に届け出て取引を停止してもらいましょう

 

 

まとめ:
パスワードマネージャー(パスワード管理ツール)を導入してパスワードの悩みから解放されましょう

強いパスワードを作り方は、覚えやすい短文とマイルールを組み合わせた「パスフレーズ」を覚えれば比較的簡単にできます。

また多数のパスワードを管理するのは、上でご紹介した「記憶と記録に分散」の考え方を取り入れて取り組めば何とかなるでしょう。

しかし記憶だけに頼らず、便利さと安全性、また貴重な情報の保管場所として活用できるパスワードマネージャー(パスワード管理ツール)の有効性は圧倒的で、比べものになりません。

ぜひパスワードマネージャー(パスワード管理ツール)を導入して、完璧なパスワード管理を実現しましょう!

ブログ内の関連記事(新しいウィンドウで開きます)

「パスワードマネージャー(パスワード管理ツール)」は「デジタル終活~デジタル遺品やデジタル遺産の安全な継承」のために、もっとも重要なツールとなります。しかし国内外多数の製品があって選択には迷ってしまいます。そんな時に頼りになる「パスワー[…]

パスワードマネージャーのイメージ画像