「忘れちゃ困るから...」と、誕生日や電話番号といった、ありがちすぎる文字列でパスワードを設定してしまうこと、ありませんか? また、同じパスワードをいくつものオンラインサービスで使いまわしたり、コンピュータの横に付箋でパスワードを貼り付けるのも、当然セキュリティリスク高し...。
そこで、コンピュータセキュリティの博士号を取得している、ベテランプログラマーのJohn Graham-Cumming氏は、パスワードを暗号化するための超アナログな方法を紹介しています。
まず、パスワードのセキュリティを保護するための基本として、以下の4点が挙げられています。
- パスワードを書き留め、財布に保管する
財布を安全に保管することは日常的なことなので、誰もが得意なはず。 - 同じパスワードを使いまわさない
ひとつのウェブサイトでハッキングされたら、その他すべてのアカウントもハッキングされてしまう。 - 最低12ケタのパスワードを設定する
このテーマについては、ライフハッカーアーカイブ記事「『8ケタ なら安心』はもう古い! パスワードは12ケタが必須という説」も参照のこと。 - アルファベット、数字、特殊文字を組み合わせる
文字種の組み合わせによるパスワード設定については、ライフハッカーアーカイブ記事「より安全なパスワード設定のコツ」や「Mozilla が伝授! 安全で忘れにくい、超シンプルなパスワード設定法」もご参考まで。
研究によると、パスワードには80ビットのエントロピーが必要になります。できるだけ長く、いろんな文字種から、無作為に選ぶべきなのです。Graham-Cumming氏の法則では、104ビットのエントロピーにしているとのこと。
では、多くの文字の中から、安全で忘れづらいパスワードを作るにはどうすればいいのでしょうか? Graham-Cumming氏は、多表式暗号(Tabula recta)を活用しているそう。
具体的な使い方は、こんな具合。たとえば、Amazonにログインするときは、「Amazon」という文字列の2番目「m」と3番目の「a」を選び、文字一覧表(左画像)の「m」の行と「a」の列にある文字(T)から順に、対角線上に16文字をパスワードにします(このケースだと、「TZ'k}T'p39m-Y>4d」となります)。もちろん、何番目の文字をベースにするかや文字の読み方は、必ずしも対角線でなくてもよく、垂直やスパイラルなど、自分でルールを決めればOKです。
隠された一定の規則を元に、ランダムな文字列でパスワードを作れるので、セキュリティを担保でき、自分だけは紙ベースでいつでも「解読」できます。また、この一覧表なら、持ち歩いている間に、万が一紛失したり盗難に遭っても、自分のパスワードが漏れてしまうリスクは低そうですね。
パスワードにまつわる記事まとめとしては、ライフハッカーアーカイブ記事「決定版! パスワード変更法、使用法、管理法」も、ぜひご一読を。また、現在利用しているパスワードのセキュリティ度をチェックしたい方は、「『LastPass』を活用してパスワードを監査・更新する方法」も参考にしてみてくださいね。
John Graham-Cumming(原文/訳: 松岡由希子)