「わたしは、サイトによってパスワードを変える方法を考案した。最も簡単な方法は、利用しているサイトごとに2文字をすでにある強力なパスワードに付け加えることだ」(Wysopal氏)
パスフレーズ、単語の羅列、「i hate to golf」などのテキストは、パスワードよりも長いため、盗まれにくい。しかし、パスワードの長さには制限があるため、多くのサイトで利用できるわけではない。
Wysopal氏によれば、30〜40文字が最適だが、最低15文字あれば強力なパスワードとみなされる。
大文字と小文字を混ぜ、数字と記号を使うことで、パスワード、パスフレーズの強度は大幅に増す。たとえば、「i hate to golf」を「1H82G@lf!」に変えて、強度を高めることができる。
一方、辞書に載っている単語を使うことは、たとえそれが外国語であっても、パスワードクラッカーに見破られる可能性が高まる。また、ペットの名前、イニシャルなどの個人情報を使った場合、たとえ他人であっても、少しの基本情報があれば、簡単に推測できる。
ある技術コンサルティング、サービス企業の技術業務担当ディレクターであるChris LoVerme氏は、自身のブログで、「Ten*10=1000!」などの計算式を使用するよう勧めている。このような計算式は、辞書に載っておらず、プログラムが考えられる限りの文字列を使ってパスワードを論理的に推測しようとする総当たり攻撃でも解読が難しいというわけだ。
また、パスワードの強さに関係なく、パスワードの安全を確保するための基本的手段がある。Microsoftは、パスワードを電子メールで送信したり、インターネットカフェ、空港のラウンジなど、入力内容をひそかにすべて記録するキーロガーが仕掛けられている可能性がある共用コンピュータで入力したりしないよう呼びかけている。
このMicrosoftのページでパスワードの強度をテストできる。
パスワードの選定は第1歩に過ぎず、パスワードを記憶する必要がある。ブラウザでユーザー名、パスワードが自動入力されるように設定して、コンピュータに任せることも可能だが、パスワードの安全性の高さという意味ではお勧めできない。使用するすべてのコンピュータで設定を行わなければならず、コンピュータがクラッシュした場合、情報が永遠に失われる可能性がある。
もうひとつの選択肢は、すぐに参照できるように、ユーザーのコンピュータにパスワードとアカウントを安全に保存するソフトウェアであるパスワードマネージャを使うことだ。たとえばSchneier氏が作成した「Password Safe」は、強固な暗号を使って複数のパスワードを1カ所にまとめて防護する無料のオープンソースのWindowsユーティリティだ。Password Safeなら、ユーティリティを開くパスワードを1つ記憶するだけでよいが、ユーティリティが格納されているコンピュータを使う必要がある。
また、パスワード保存サービスの「Passpack」から最近、「Passpack Desktop」がリリースされた。これはブラウザとは別の場所にあり、オフライン中もパスワードを管理できる。コンシューマー版は無料だ。
さらに、「RoboForm」という選択肢もある。約30ドルで販売されているこのソフトウェアは、最初に使われたときにユーザー名とパスワードを記憶して保存し、次回以降、これらを自動的に提示する。また、パスワードをオンラインに安全に保管して、どこからでもアクセスできるようにする無料のサービス「Agatra」もある。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
脱炭素のために”家”ができること
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
