暗証番号・パスワードちゃんと管理していますか?

とある会社ではパソコンを起動するときに物理的にパソコンのUSBポートに差し込むトークン(鍵)とpinコードを使用していました。
通常でしたらこの仕掛けで不正にパソコンを使用することはできません。しかし、犯人はいとも容易くパソコンにログインして情報を盗み出していきました。
それはなぜでしょう?

なんと、その会社ではパソコンが設置してある机の無施錠の引き出しにその部門の全員分のトークンと、そのトークンのキーホルダーにpinコードが書いてありました。
そう、トークンもpinコードも何の役にも立たなかったのです。

これは架空の話ですが、パソコン起動だけでなく、各種Webシステムやクレジットカードの暗証番号も含めてわかりやすすぎるパスワードを使用している例は多いのではないでしょうか?
そして、どれほど難しいパスワードを設定しても、何年も同じものを使用していれば、いつかはそれが外部に流出してしまうかもしれません。

しかし、少々安直であっても、それが外部にわかりにくいものならば被害は最小限に食い止められます。自分には簡単にわかって、他人には推測されない。そんなパスワードや暗証番号を考えてみましょう。

●暗証番号
ちょっと古い情報ですが、暗証番号として使用頻度が高いものと少ないものをそれぞれ20個ずつ出しています。
http://gizmodo.com/5946582/the-20-most-common-pins-are-painfully-obvious
1位が「1234」4位が「1212」6位が「1004」などとなっています。ぞろ目は昨今では暗証番号に使えないことがほとんどでしょうが、心理的に1桁目は小さな数字が、4桁目には大きな数字が来るというのもありそうですね。
逆に少ない組み合わせは「8068」「8093」「9629」など1桁目に大きな数字が選択されているのが多いのがわかります。

とはいえ、4桁の数字というのはぱっと思い浮かぶものではありませんし、忘れないというのもなかなか難しいです。まして誕生日の数字の組み合わせも限界がありますし、他人に推測されやすすぎます。

たとえばこんな暗証番号の組み合わせはいかがでしょう。1年ごとに変更していくとして
「5850」
「1668」
「3159」
「2420」
「6900」
「1307」
こんな感じの6回分。覚えられますか?普通は覚えられませんが、この数字はあるキーワードでWeb検索すると出てくるものです。
これは私が好きなとある町のとある区間を結ぶとある鉄道会社の通勤定期運賃です。上から1ヶ月3ヶ月6ヶ月の通勤定期運賃、そして通学定期運賃です。(5桁のものは上位4桁)
もちろん下4桁でもいいでしょうし(最終桁が0になるきらいがあるが)自分の住む場所でも、関わった場所でも無ければほぼ推測される可能性は皆無です。
気をつけなくてはいけないのは運賃変更時に数字が変わることでしょうかね。
2=1B

●パスワード
パスワードは自由度が高いだけに安直な氏名や「あだ名」を使用してしまうところがありますね。しかも、各サイトごとに別なパスワードをつけましょうとか、同じサイト内でログイン用と取引用の2種類のパスワードををつける必要がある、まして数字や記号必須なんて場合もあるでしょう。
ちなみにこちらも使用頻度が高い上位は「password」ってそのものやんって突っ込みが入りそうなものから「123456」「qwerty」(キーボードの2段目を左から順に)なんていうのが挙げられており、これはあっという間に割れてしまう可能性が高そうです。

推測されにくいパスワードの基本は
・大文字と小文字を混ぜて使う
・数字を2個以上入れる
・記号を入れる
・桁数を長くする
です。あまり複雑で覚えられないパスワードは紙に書いて持ち歩くなど逆にセキュリティリスクになってしまいます。覚えやすく、それでいて上記にあてはまる推測されそうにないパスワードを考えてみましょう。

今回はアルファベット(記号含む)8文字、数字2文字10桁で作成します。

文字部分は嫌い食べ物とかはいかがでしょう。好きな食べ物は知られていますが、嫌いな食べ物って友人でもあまり知らないですよね。
また、地名を使うのも一考です。地名はメジャーすぎると辞書登録されて推測されることがあります。しかし、地名の頭文字をうまく生かすというやり方があります。
(そういえば昔好きな女の子の名前をパスワードにすると別れるってジンクスありませんでしたっけ?)

たとえば7文字分用意するとき、こんな感じにするのはどうでしょう。
k@rSuM! (烏魚子から)
ToUf(y@ (豆腐ようから)
YuK!g@y (雪が谷大塚から)
d/EnC@f (田園調布から)
「a」や「o」を「@」に置き換える、「i」を「!」に置き換えるというのはありがちですがやらないよりはずっとマシです。「u」を「(」にとかルールを決めるのもいいですね。

そしてサイトごとの頭文字を組み合わせます。ユーザーサイド株式会社用のパスワードなら「U」を、Googleなら「G」などと入れます。これによりサイトごとに違うパスワードを設定できます。
最後に数字を2桁入れますが、これは上記の定期運賃でも良いですし、毎年変わるなら年齢とかでもいいです。ただし、入れる位置を考えます。数字が連続していない方がパスワードの推測は難しくなります。
「4K@rSum!3U」
「ToUf(y@2G3」
「Yuk!G@y5U8」
「3d/EnC@f2G」
大文字小文字の組み合わせを変えることでも何通りも作ることができます。また、少なくはなりましたが8文字しかパスワードを設定できないサイトでも比較的強固なパスワードを設定できるはずです。
ちなみに業者さんが新規発行するパスワードには紛らわしい「1」と「I」、「0」と「O」等を使わないようにしていますので、あえて「I」(アイ)や「O」(オー)を大文字にするのもお勧めです。
また、ログイン用と取引用は、「Sum!3U4K@r」とか同じパスワードの前後入れ替えると(逆にするというのは意外と考えやすいので、分割位置で入れ替えるのが良さそう)忘れにくいですね。
https://www-ssl.intel.com/content/www/us/en/forms/passwordwin.html

(もちろんこのサイトに実使用のパスワードを入れてはいけません。あくまでテスト用です)
インテルが提供しているパスワード強度チェックサイトをご紹介いたしますので、試してみてはいかがでしょうか?実は上記の10桁のパスワードはどれも1ヶ月で破られちゃうよという少々プアなパスワードのようです。
これにもう1文字数字を追加するだけで1年かかり、2文字追加で10年という結果になります。最後に2015と入れて14文字にすることで1050年に強化されます。やはり長いパスワードが有効だということになりますね。
(あくまでこのサイトは辞書マッチと長さで見てるようなので「yukigayaootsuka」なら5572451年かかるとはなりますが、日本語地名マッチなんか入れられたら一瞬でクラックされるわけですから複雑なパスワードに越したことはありません)
1=1B

●変えられないパスワードの持ち歩き
昨今は銀行サイトで振込などをする場合に乱数表を発行されることがあります。その乱数はこちらで変更することはできませんので、どうしてもそのまま持ち歩くことになります。それは少々リスクが高いですね。
たとえば
A B C D E F
1 11 61 93 06 84 21
2 94 59 14 37 48 98
3 41 33 08 06 14 63
4 00 25 92 64 08 50
このような乱数が発行されていたとします。振込時にA-4とE-2を指定で0048とか入力させるものですね。
これをそのまま持ち歩くのはリスキーです。ならば、
04 94 94 96 26 28
57 45 98 18 62 45
61 26 80 37 80 09
95 80 44 66 45 63
11 61 93 06 84 21
94 59 14 37 48 98
41 33 08 06 14 63
00 25 92 64 08 50
53 36 62 35 19 40
95 37 05 23 44 84
17 87 62 40 01 31
33 15 00 06 88 30
こう持ち歩けばいかがでしょう。自分だけがどの位置から始まるか知っておけば良いですし、もう少しセキュリティを高めたければ、桁位置もずらして印刷するとよいかもしれません。
なお、Webサイトには乱数を発行するサイトがいくつかあります。

また、変更できないシステムのパスワード、たとえば「TXofAWtE」を記憶できず持ち歩くなら
9w1Ox4fYjQhdTXofAWtEbxOAKvMfgKa7Q2Pkuq0GHO6J9CAv
このように持ち歩いて何文字目からというのを覚えておくのも、そのまま持ち歩くよりはリスクを減らせる方法でしょう。
——————————————————————————————————————————————————
もちろんパスワードの持ち歩きは避けた方が良いのは言うまでもありません。しかし、覚えられず手帳に書く、パソコンに付箋で貼るなどするよりはよほどマシです。
——————————————————————————————————————————————————

春は心機一転。これを機会にパスワードや暗証番号を見直してはいかがでしょうか。

Share on Facebook0Tweet about this on Twitter0Share on Google+0Share on LinkedIn0Pin on Pinterest0
Tagged on: