「データベースにアクセスするためのパスワードを忘れちゃって」「年も明けたことだし、この機会にパスワードを変更したらどうだ?」
大手総合商社・メデア商事――。営業部3課の新人・小林ケンタは、PCを前に何度もため息を漏らしていた。そこに先輩・高柳ワタルが近づいてきた。
高柳 何度もため息なんかして、どうしたんだ?
小林 正月休みのせいというわけでもないんですけど、データベースにアクセスするためのパスワードを忘れちゃって……。
高柳 ま、ありがちだな(苦笑)
普段頻繁に使わないパスワードは、何かのファイルに記録して保存し、そのファイルを決して忘れることがないようなパスワードでロックするという方法もある。だが、それでも人間のやることである以上、「決して忘れないようにしていたはずのパスワード」を忘れてしまうこともあるだろう。
高柳 年も明けたことだし、この機会にパスワードを変更したらどうだ?
小林 えっ? でも、またパスワードを考えるのが面倒で……。
パスワード設定に関して最もやってはいけないのは、使用するパスワードをすべて同じものに設定することである。そして同じようにやってはいけないのは、パスワードを変更せずに何年も同じものを使い続けることだ。しかし、定期的にパスワードを変更することが大事だということは、頭では分かっていても、新しいパスワードを考えるのが面倒といった理由で、変更しないままでいる人は少なくない。
高柳 オレは最低でも1年に1度は変更しているんだけど、そのときに「今年はこのルール」というのを決めてるんだ。
小林 ルール?
高柳 例えば、パスワードの基本となる言葉や文を「パスワード化」するルールを決める。今年は基本の文字列をキーボード上で左斜め上にシフトする、と決めたら、次の年は右斜め上にシフトするといった感じで、毎年ルールを変えるんだ。今年の場合だと、「takayanagi」は「5qiq6qhqr8」になるわけ。そして、その年に更に新規にパスワードを設定することになったときには、その年のルールに従って設定する。
小林 なるほど。でも、パスワードの基本となる単語や文をどう決めるのかというのが難しいんですけど……。
高柳 それも年毎にルールを決めればいいんだ。例えば、趣味に関するもので作るとしたら、今年はサッカーに関する単語や文、次の年は音楽に関する単語や文とか。
小林 確かにそれならいくらでも作れますね……。でもこの方法だと全部アルファベットになってしまうのでは?
高柳 数字についてもルールを決めておけばいいんだよ。例えば、今年は母親の誕生日にちなんだ数字、次の年は父親、そして次は兄弟といった、自分に直接関わる数字以外で忘れることがないような数字がオススメだ。親族の生年月日がセキュリティ的に心配なら、数学の定数を使う方法や、トークンを組み合わせる方法もある。
小林 なるほど。
高柳 それに、最近の研究によると、パスワードの安全性は複雑さよりも長さだという結果が出てるんだ。
小林 ?
マカフィーのブログによると、大文字、小文字、数字、記号を混ぜた複雑だが短い(7文字)パスワードと、すべて小文字だが長い(15文字)パスワード(パスフレーズ)の強度を比較した結果、すべて小文字でも長い方が遥かに「強い」という分析結果が出ている。ただし長くても、辞書に掲載されている単語そのものであってはならないことは言うまでもない。
高柳 とにかくシステムが受け付けられるなら、少なくとも15文字以上のパスワードを考えることが大事ってことだな。
小林 はい。何となくパスワードの決め方が分かってきました。ちょっと考えてみます。
高柳先輩オススメのパスワード選定法 | |
---|---|
文字列を決める(その1) | 好きなスポーツや音楽などをヒントにしてパスワードの元になる文字列を決める |
文字列を決める(その2) | 親族など、忘れなさそうな誕生日を元にパスワードの一部となる数列を決め、その1で作成した文字列に追加する |
文字数 | システムが受け入れるなら、15文字以上にする |
「今年はこのルール」を決める | 簡単なのは、パスワードの元になる単語をキーボード上で上下左右のいずれかにシフトする |
してはいけないこと | 使用するパスワードをすべて同じものに設定すること パスワードを変更せずに何年も同じものを使い続けること |
セキュリティ関連の話題を中心に執筆中のフリーライター。翻訳(英語、韓国語)やプログラミング、システム構築などコンサルなど活動は多岐に渡る。JPCERT/CC専門委員。Webサイトはこちら。
Copyright © ITmedia, Inc. All Rights Reserved.