sc.14 IDとパスワードの運用管理

  • IDとパスワードの運用方法
  • IDとパスワードの付け方
  • IDとパスワードの管理方法

現在IDにはメールアドレスを使うことが主流なり、パソコンを利用する一般ユーザーにとって、「パスワード」の管理運用がパソコン利用の大きな障害になっています。注意書きには具体的にどうしたらよいかの説明はありません。このページには一般ユーザーでもおこなえる程度のものを幾つか取り上げました。参考にしてください。

コアパスワード

任意のフレーズをローマ字にし、一部を大文字にしたりオーをゼロにエーをアットなどに置き換える。次に絶対に忘れることのない数字を付加する。好きなスポー選手の背番号など。さらに自分にしか分からないキーワードを設定。キーワードは自分独自で考えたものでこれは記載。他の部分は暗記する。

パスワードの運用方法

「重要なもの」と「重要でないもの」に分けて運用します。基準は金銭に関する事項が伴うかいなかですが、金銭に関する事項が伴わなくてもデータそのものが重要な場合もあります。一般的な観点で判断できるものと、使用者各自の価値判断により変わるものとがあります。最終的判断は各個人でおこなってください

重要なもの(強いパスワードで運用)

ネットバンキングやオンライントレード、ショッピングサイトなど盗用されると致命的な問題が起きる可能性があるものです。その他、クレジットカード支払で利用しているサービスが該当します。また、業務上の秘密情報の取り扱いも含まれます。

メモは残さず暗記する、異なるサービスで同じパスワードを使わない。定期的に変更する。

重要でないもの(弱いパスワード運用)

盗用はされたくない程度のもの。メールマガジンの購読など然したる金額ではないサービス、またはWebメール、ホームページ領域、インターネットディスク、アルバムサイト、画像ダウンロードサイトなど無料のサービスが該当します。

「弱いパスワード」とは、自分の名前や電話番号、誕生日、メールアドレスなど使ってよいということではありません。安易なIDとパスワードは使わないでください。

上記に該当するサービスを使用しなくなった場合は、必ず登録破棄をしてください。放置するとこれらのIDとパスワードが悪用されることもあります。

「強いパスワード」と「弱いパスワード」とは

「強いパスワード」とは破られにくい(推測し難い)パスワードです。「弱いパスワード」とは破られやすい(推測しやすい)パスワードのこといいますが、下記のようなものはIDやパスワードに使用してはいけないものですので、「弱いパスワード」以前の問題です。

  • 氏名、生年月日など個人情報に該当するの。(勤務先なども含む)
  • 個人情報に容易に推測できるの。自分だけでなく家族も含む。
  • 誰でもが推測が可能な単純なもの(12345678やabcdefghなど)

何を基準に「強い・弱い」と判断するかですが、悪意を持った第三者にとって推測し難いことが基準になります。悪意を持った第三者は主に「総当たり攻撃」や「辞書攻撃」という方法をパスワード解読します。

「総当たり攻撃」

コンピュータ処理で、アルファベットや数字の文字を順番に組み合わせて照合していきます。最も単純で手間がかからない方法です。時間がかかる場合もありますが、アルファベットのみまたは数字のみのパスワードはこの方法で解読できます。「総当たり攻撃」をおこなうためのツールはインターネット上の闇サイトにいくといくらでもあります。

某プロバイダのテストでは、この手のツールを使用すればアルファベットのみまたは数字のみのパスワードの解読時間は0秒から3秒という結果が出ています。

「辞書攻撃」

一般ユーザーが使いそうなフレーズを集めた辞書を使い照合する方法です。これをおこなうためのツールもインターネット上の闇サイトにいくといくらでもあります。また、フレーズ辞書も色々なタイプのものがあり組み合わせて使います。フレーズ辞書には下記のようなものがあります。

  • 主に一般名詞
     「一般名詞」とは動物の名前、果物や野菜の名前、国名や地名、船名など日常使う名詞用語です。パスワードとしては色の名称や犬や猫の種類名称がよく使われます。
  • 社会的に有名なもの
     「一般名詞」ではなく「固有名詞」に属するもので、歴史上の人物や建造物、政治家、文化人、芸能人、スポーツ選手など
  • 芸能・スポーツに関するもの
     音楽であれば作曲家名、作詞家名、曲名、歌手名、アニメや映画のタイトルと監督名、俳優名など。芸能・スポーツに関するものはパスワードとしてよく使われるためほとんどの事項が網羅されています。
  • 変わり種辞書
     星座番号や化学記号など一般ユーザーが使うことはまれですが、それぞれの専門分野ではよくつかられているもの。

問題はこうした攻撃に対処できるパスワードの作り方になります。

パスワードの付け方

「推測・解析され難いパスワード」はイコール「覚え難いパスワード」です。覚えやすくするための工夫が必要です。この手の定番は「語呂合わせ」ですが、歴史年号、車のナンバー、相対性理論、星座番号などよく使われるものは当然裏社会のフレーズ辞書に登録されていますので単独そのままで使うと危険です。

基準となる覚えやすいフレーズを決め、それを自分なりの作成ルールに従って変更していきます。以下に参考になるルールを上げてあります。いずれの方法も単独で使うのでなく組みあわせて使います。

複雑すぎるルールは逆効果になります。メモして置かないと覚えられないようなルールは適切ではありませんが、最初のうちはメモしておくことを勧めします。単純なものでもはじめて決めたルールは時間が経つと忘れてしまうことがあります。

ルール

  • 短いフレーズを2つ組み合わせる。関連性を推測できないものがよい
  • 一部に記号を使う
  • 英字の大文字と小文字を混ぜる
  • 英字綴りの母音抜き名称
  • 類似のものを置き換える「1」と「i」、「a」と「@」など
  • 英字に番号を振り、英字綴りを数字で表現する
  • 重なる文字を文字個数で表す

下記は「味の素社の加藤さん」を元にした例です。

  • 「azinomoto」と「katou」を繋ぎ合わせる → azinomotokatou
  • 長いと覚えにくいので8文字にする → azikatou
  • 最初の「a」と「k」を大文字に、 → AziKatou
  • 後の「a」は「@」に置き換え「o」は「0」に置き換え → AziK@t0u

上記のもので「中」または「強」レベルです。上記のものにユーザー独自のルールを作り適用すれば「強」レベルのものができます。ポイントは『記号』を使うことあります。例えば「z」は常に「&」に置き換えるなどです。

Webサイトのサービスによってはパスワードに「記号」を使えない場合があります。記号の換わりに数字を使います。また、8文字以上使えるのであればできる限り長くします。

パスワードの管理方法

パソコン内での管理

一般ユーザーがデジタルデータとしてパスワードを管理することはおすすめできません。Webブラウザーの「Opera」にはパスワードの管理整理機能があります。また、ユーザーIDとパスワードを管理するフリーソフトなどもありますが、管理ソフトを装ったスパイウエアもありますので利用には最新の注意が必要です。

デジタルデータでパソコン内に保存して管理する場合は万全のセキュリティ対策をおこなってください。当然ですが、記録した管理ファイル自体にも必ずパスワードをかけてください。スパイウエアに感染した場合は、即全パスワートを変更してください。

手書きメモ

現時点では、一般ユーザーが管理する方法は、パスワード管理ノートを作り、このノートを物理的に管理するのが一番安全(盗用されない)で忘れることのない方法です。ただし、やり方があります。パスワード管理ノートは外出時に持って歩く手帳や小さなノートは避けてください。

パスワード管理ノートにはパスワードのルールも記載しておきます。パスワードを作成した日、変更した日も記録します。このノートを大事なものをしまう場所にしまいます。日常使う手帳などに書き留めるときは下記のような方法をとります。

  • ルールの元となる文字列のみメモする
  • ダミーの付加フレーズを付けてメモする
  • ルールをメモすときは日本語の略語表現にする(作成例であれば「味の素は大2つで単価0円」など)

リマインダー機能

パスワードを忘れた場合の対策として、「秘密の質問」の答えを登録しておき、この質問に答えることによりパスワードを再現するものです。「秘密の質問」の答えも本人から推測されやすいもは禁物です。過去に某プロバイダーのスポーツ関連の有料サービスで、リマインダーにプロ野球の球団名を使ってい方々のパスワードがすべて盗まれたという事例があります。