パスワードを強化しつつ多くのサービスで使い回ししない簡単な方法
パスワードの流出
ちょっと前からTwitterではアカウントが乗っ取られてフォロワーにメンションを飛ばしまくるスパムが続出している。
Twitter乗っ取りでスパム送信相次ぐ リスト型攻撃か 偽ブランド販売サイトに誘導? - ITmedia ニュース
今まであったTwitterのスパムは使用者が不用意に「アプリ連携」を許可してしまって知らないうちに宣伝リツイートをさせられるのが主流だった。
今回流行しているスパムは、無作為に宣伝メンションを送りつけるわけだから、似てはいるけれど決定的に違う部分がある。
前者のスパムは知識不足からくる不注意で、使用者自らが「連携許可」を出してしまっていることに対して、後者が全く異なるのはパスワードを破られている点で深刻さは桁違いだ。
パスワードが流出する騒ぎというのは今ではそれほど珍しいことではない。
少し調べればあちこちで大なり小なりそういう事件は起こっている。
問題はパスワードの使い回しにある。
仮にどこかのサービスで使っていたパスワードが漏れたとしても、そのサービスでしか使っていなければ被害はそこだけで済む。
ところがかなり多くの人が同じパスワードをあらゆるサービスに使いまわしている。
こうなるとどこか一つのサービスでパスワードが漏洩したら芋づる式に悪用されてしまうのは明白だ。
こういったことは大規模な漏洩事件が起こるたびに注意喚起されているが啓蒙は不十分だろう。
今回はパスワードについて考えてみたい。
覚えやすいパスワードの強化方法
なぜ同じパスワードを使い回してしまうのかといえば、忘れたら困るからであり、常に覚えておかなければならないからだ。
そうなると「覚えやすくて忘れ難いもの」というチョイスになる。
名前+誕生日みたいな単純なモノが多いのではないだろうか。
この、名前+誕生日というのは覚えやすくて大変よろしいのだが、仮にソーシャルハックされた場合にひとたまりもない。
ここで一つ例を出す。
10月01日生まれの太郎さんがいたとする。
太郎さんは自分の名前と誕生日でパスワードを作成した。
taro1001
英字と数字が入った8文字のパスワードだから大抵のサービスでは許可されると思う。
でも先に述べたようにソーシャルハックされた場合の脆さはある。
なので少しだけ変換する。
tar0i00i
o(オー)を0(ゼロ)に変換して1(いち)をi(あい)に置き換えている。これだけで意味を持たない文字列になった。
似たアルファベットと数字を入れ替えるだけで一気にパスワードの強度が上がる。
現在自分が使っているパスワードが何らかの意味を持った文字列だとしたら、こういう感じで数字と入れ替えれば強度が上がって安心だ。
コレ以外にもおすすめなのは「zを2」「bを6」「qを9」「aを@」等々。
自分なりの変換ルールを決めておけば迷うことはなくなる。
パスワードの使い回しを防ぐ方法
以上は覚えやすくて忘れにくい「意味を持った文字列を使用しながら、パスワードの強度を上げる方法」として紹介したが、いくら強度を上げても同じパスワードを使いまわしてしまえば意味が無い。
とは言ってもログインを必要とするサービスは日々増えていくばかりで、その全てにおいて全部違うパスワードにするのはツールでも使わないと無理だと私も思っている。
なのでちょっとしたコツを紹介する。
上で強化したパスワード「tar0i00i」にサービスごとの頭文字を追加する。
仮にTwitterであれば(tw)を追加して「tar0i00itw」
マイクロソフトであれば(ms)を追加して「tar0i00ims」
強化したパスワードを基本にしつつ、そこにそれぞれのサービスを表す文字を足すことで、使い回しを防ぐと同時にパスワード忘れも防ぐことができる。
ここではサービスを表す2文字を末尾に追加したが、頭に付けたっていいし、一文字ずつ頭とおしりにわけたっていい。
大事なのはこういったアルゴルリズムは、すべて自分で決めることだ。この自分で決めたルールを忘れてしまったら元も子もない。
そのかわり、このやり方を守ればどれだけ多くのサービスが必要になってもパスワードで困ることは無くなる。
まとめ
なんのひねりも無いパスワードを各所で使いまわすようなことをしていると、今回のTwitterの事例のように知らないうちに乗っ取られて、スパムの踏み台にさせられてしまうこともある。
それだけならまだしも、ネットバンキングやクレジットカード等のパスワードまで使いまわしていたら万が一の際にどれだけの被害を被ることになるかわからない。
あくまでも今回紹介したパスワードの作り方は一例に過ぎないし、これで完璧ということは決して無い。
そもそも同一サービスだとしても、同じパスワードを長期間に渡って使い続けるのもあまり好ましくない。
定期的にパスワードは変更していかなくてはならない。
そういった諸々の煩わしさから、同一のパスワードを使い回してしまう気持ちはよく分かるが、この御時世そうのんきなことも言っていられない。。
この記事をきっかけにして、皆さんが自分なりのパスワード運用をしてもらえたら大変嬉しい。
使ったことないけどこんなものもあるんですね↑