簡単なパスワード+簡単なパスワード＝強いパスワードの法則

f:id:nishishinjuku:20160605231300j:plain

今日もそうでしたが、たまに自身のパスワードが脆弱なせいで、Twitterを乗っ取られたり、アカウントを良いように使われる人が週に1回ペースで現れます。最近では長澤まさみさんらのiCloudを覗き見したという話題がありましたが、誕生日や血液型をパスワードに設定している人は、なぜもう1ポイント付け加えたりしないのかな、と不思議に思ってしまったりします。

見られては困るような写真や、やましい情報が詰め込まれているわけでもないのですが、どの会員制サービスサイトも（自称）強力なパスワードを使うようにしています。きっかけは10年以上前、2ちゃんねるにどっぷりと浸かっていた頃に、ショートカットキーのうっかりタイプにより、銀行にログインするためのパスワードをカキコしかけてしまったことにあります。当時は安直なパスワードばかりを使いまわしていたため、銀行のパスワードには苗字が入っていました。単なる文字列ならまだしも、名無しであっても自分の名前がネットに残ってしまうというのは、とても恐ろしいことだなと感じるようになり、今の対処法を使うようになりました。その反動かはわかりませんが、現在はネットに自分の痕跡が残ることを、極度に恐れてしまい、SNSに自身の個人情報をバンバン掲載するような時代になってから、誰かと写真を撮るなどの経験は両手の指で足りる程度しかありません。

話が脱線しましたが、この手法は簡潔に言うと、簡単なパスワードにパスワードを組み合わせる、というものです。様々なサイトに登録すると、時折サービス業者側から一方的にランダムの文字列が送られてきます。一度に10文字前後の文字列を覚えるのは大変ですが、これを逆手に取り、4～7文字くらいのランダムの文字列を5～6パターン程度覚えます。上限7文字という制限は電話番号や郵便番号と同じぐらいなら大丈夫そう、という理由です。これに、インターネット以外のサービス（銀行など）で使っている暗証番号などを組み合わせたり、住所の番地、通っていた小学校を卒業した年、小学校の時に仲の良かった友達の名前、母音か子音のどちらかを大文字にした遠い親戚の名前、高校3年間のクラス、もしくは自治体名などを合体させます。あとは電話番号や生年月日をパスワードに入れても、これならそう簡単に破られる事はありません。

例えば銀行の暗証番号が1111で、足立区の高校を卒業し、自宅が新宿区役所と同じ住所で、「じゅんぞう」という名前の大叔父がいたとすれば、パスワードは

1111Adachi141jUnzO

となります。いくら銀行の暗証番号が簡単で、総当たり攻撃で即破られるようなものだったとしても、これならスパコンを使ったり、Person of Interestに登場するマシンでも使われない限り、簡単に突破されないはずです。また、これらのワードを入れ替えて「大叔父、住所、銀行の暗証番号、高校の場所」という順番にするだけでも、また新たに1つ強力なパスワードを作り出すことが可能です。

長年この手法を使っていると、ランナーズハイに近い現象なのか、パスワードを新たに生成することが楽しくなってきます。使っていないものも含め、覚えているパターンは40～50程度ありますが、会社で働く先輩や後輩の名前を覚える感覚と同じだと考えてみれば、わりと楽なのではないかな、と思っています。スマートフォンだと少し手間はかかるものの、パスワードを今すぐ入力しないといけない、なんて状況はそうそうありませんし、慣れればパスワードを記憶させる必要もなくなります。果ては脳の中にしかパスワードがないという、ある意味最強の自衛にも使えます。

最初のうちは簡単なワードでも大丈夫かと思いますが、徐々に自分にしか当てはまらない情報などを追加していくと、誰かに自分の情報を盗み見されるなどの被害は抑制できるのではないかな、と思っています。もちろん、サービス側から情報流出という形で、パスワードが出回ってしまったら元も子もありませんが…。