サインイン、ログイン、サブスクライブ。オンラインでは何をするにも必ずパスワードの入力が要求されます。いわばオンラインの通行証のようなもので、言わずもがなこの重要な情報を他の人に知られてはなりません。ならぬ事はならぬものです。

しかし、AI技術が急発展を遂げている現在、ハッカーや詐欺師たちがパスワードを破るスピードが確実に進歩しています。こうした攻撃をくぐりぬけ、重要なデータや資産を守るには、強度の高いパスワードが不可欠です。パスワードが弱いと、自分で自分の身を滅ぼすことになります。

安易なパスワードの設定は危険！

クレジットカードで詐欺被害に遭った場合、基本的にすべての被害が補償されますが、カード規約に「ユーザーに過失があった場合を除く」という条件が記載されていることがあります。推測されやすいパスワードを設定していると、規約違反と見なされ、損害補償が下りません。

例えば年頭に起こった、デビッドカードを紛失し、6800ドルが口座から無断で引き落とされたカナダ人女性のケース。カードの暗証番号が自身の電話番号の下4桁だったせいで、安易な暗証番号設定をした本人の過失と見なされ、補償の対象外となりました。

これは数字の暗証番号の例ですが、英数字組み合わせのパスワードでも同じこと。ど忘れを恐れて安易なパスワードを設定するのはかなり危険です。

ちなみに絶対に設定してはいけない、と言われていながら未だに使われ続けているパスワードに「password」「123456」「abc123」「qwert」などがあります。ハックされても影響のないサービス（お金に関連しない、一度切りで2度と使わないなど）であればこれらのパスワードでも問題ないかも知れませんが、重要な情報が含まれるアカウントにこれらのパスワードを使用することは絶対にやめておいた方がよいです。

FBI推奨のパスワード作成メソッドとは？

そこでおすすめしたいのが、FBI Potlandが公式ウェブサイトで紹介している、米国立標準技術研究所（NIST）によるパスワード作成メソッド。押さえておくべきポイントは以下の通りです。

1. とにかく長くする

パスワードは長ければ長いほど安全性が高くなります。NISTによれば、パスワードは複雑性よりも長さが重要です。15文字以上のパスワードであれば、大文字小文字、特殊文字などは必要ありません。

例えば7文字のパスワードはハッキングソフトウェアにかかると0.29ミリ秒で見破られてしまいます。しかし12文字だと見破るのに200年ほどかかるとされます。たった5文字がこれほどの違いを生み出すなら、長いパスワードを設定しておいて損はありません。

2. 単語のチョイスに注意する

いくら長くても、お互いに関連性の高い単語を使うのは禁物です。例えば「iwanttodrinkbeer（I want to drink beer）」という16文字のパスワードを設定したとしましょう。これだとiwanttoまで見破られた時点で、次に動詞が来ることが分かってしまいます。drinkが見破られたらもう、あとには飲み物が続くことがバレバレです。

3. 個人的な情報を含めない

ハッカーはあらゆる情報源からパスワードのヒントを得ようとします。あなたのSNSから、家族やペットの名前、趣味、居住地、誕生日などの情報を収集して手当たり次第に試します。こうした個人情報は覚えやすいのでついパスワードに含めたくなりますが、避けるのが賢明です。

2. の例で言うと、普段からビール好きを公言してはばからず、SNSでもビールの写真ばかり投稿しているような人なら、パスワードにbeerが含まれることが推測されてしまうでしょう。

以上の条件を考慮した完璧なパスワードがこれ。

mother towel sensitive hold

つまり、ランダムな単語を繋げただけの長いパスワードです。これなら少しの注意ですぐに思い出せますし、強度も抜群です。ちなみにこの24文字のパスワードだと、見破るのに1800万年以上かかるとされています。

また、日本語をローマ字入力する、という手も有効な手段の一つです。

例えば、korewaanzennapasuwaadodesu（これは安全なパスワードです）とローマ字入力すればこれで26文字あり、かなり強固なパスワードだと言えるでしょう。アンチテーゼ的にこれは安全なパスワードではありません（korewaanzennapasuwaadodewaarimasen）とすると34文字になり、文言に反してさらに強靭なパスワードになります。

ただし、それも現時点での話。AIやディープラーニング、コンピューターの計算速度などが進歩を続ければ、IDやパスワードが意味をなさなくなる日が来るかもしれません。それとも、さらに破られにくいパスワード生成メソッドが登場するのでしょうか。

パスワードとハッカーのいたちごっこはまだまだ続きそうです。

パスワードが漏洩しているかどうかをチェックできるサイト「Have I Been pwned」

自分のメールアドレスやパスワードが漏洩しているかどうかを確認したい場合に使える便利なサイトがあります。それがHave I Been pwnedというサイト。

使い方もとても簡単でメールアドレスを入力するだけ。漏洩している場合は赤い画面が、漏洩していない場合は緑の画面が表示され、漏洩に関する情報も表示されます。このサイト自体が危険なのでは？と思ってしまうかも知れませんが、至るところで奨励されているサイトで、信頼性は高いようです。

利便性を考えると長いパスワードは面倒ですし、セキュリティーを考えるとそれも仕方ないですが、自分なりの方法を編み出すことでパスワードの強靭さは担保できます。これを機にパスワードを変更することも考えてみてはいかがでしょうか？

【参考リンク】
・ 7 Tips to Create a Hack-Proof Password You'll Actually Remember
・ Oregon FBI Tech Tuesday: Building a Digital Defense with Passwords

メルマガ登録をしていただくと、記事やイベントなどの最新情報をお届けいたします。