パスワード生成、自分しかわからないものは本当はダメ? [パソコン・ネット]
パスワード生成をみなさんはどうされていますか。少し前になりますが、『東京スポーツ』(2015年1月29日付)に関連記事が出ていました。Webサービスのパスワード管理とともに、安全でなおかつ忘れにくいとするパスワード生成方法が書いてありましたが、私には逆に少しややこしかったような気がしました。

私は2011年に火災を経験した時、パソコンも回線も全焼しました。
事故後10日目ぐらいに、やっとiPhoneを入手してメールだけ復活しました。
パソコンは、そこからさらに1週間ぐらいしてから使うようになりましたが、しばらくは緊急の事後処理や手続きに追われ、気がついた時には、利用していたWebサービスのIDとパスワードの多くを忘れてしまいました。
何しろそれらを記録したデータごと燃えてしまいましたからね。
このブログはよく復活出来たと思います。
それはともかく、冒頭の『東京スポーツ』では、トレンドマイクロの高橋昌也氏が、パスワードの管理と生成についてコメントしています。

『東京スポーツ』(2015年1月29日付)より
その要旨は、
・トレンドマイクロの調査では、1人平均10のWebサービスを利用しているが、93.1%が同じパスワードを使いまわしている
・最近は“使い回しユーザー”を標的にした約80万件の不正ログインがあったが、情報や金銭を目的としたものが約9割をしめる
・その対策にはパスワードを強化すること
・セキュリティの強いルーターや、有料のパスワード管理ツールなどが有効である
というものでした。
まあ、トレンドマイクロ自体が有料のパスワード管理ツール「パスワードマネージャー」を発売しているので、もしかしたらペイドハプ(記事の体裁をした広告)かもしれません。
ただ、混ぜっ返すわけではありませんが、そのパスワード管理ツールを使うにもパスワードが必要なわけです。
その管理はどうするの? という疑問もあるんですけどね。
そのパスワードを盗まれたら、利用しているWebサービスは全て乗っ取られてしまいます。
もしパスワードを忘れた場合、クラウドサービスならサービス元に問い合わせることになりますが、結構本人確認で手こずるんですよね。
ですから、パスワード管理ツールを使えば完璧、と断言もできないのです。
いずれにしても、ネットのアクセスが、パスワードによるログインのシステムである以上、いかに安全で本人が覚えやすいパスワードを生成し管理するかは避けて通れない問題なのです。
それで、同紙には具体的に以下のパスワード生成方法が書かれています。
1.個人情報からは容易に想像できない好みの言葉を英語で表記
(競走馬のゴールドシップが好きだからgorushiにしようとか)
2.その中の例えば英字のoを数字の0に置き換えるなど自分だけがわかる数字にする
(g0rushi)
3.それを単語や記号で挟む(#g0rushi?)
4.利用するサイトごとに末尾にfacebook、LINEなどと加えるとベター(#g0rushi?LINE)
ということなんです。どうでしょうね。

安全かもしれませんが、いろいろ手を加えているので、忘れてしまいそうですね。
たとえば、「自分だけがわかる数字にする」と書かれていますが、これがクセモノなんです。
自分だけがわかるということは、もし自分が忘れたら、永久に誰もわからないということだからです。
私は火災で、ほんの数日パソコンをいじらないだけで、だいぶ忘れてしまいました。
それは、いろいろ緊急の雑事に追われていたことと、パソコンから離れたことが重なったレアケースかもしれませんが、とにかく私のような経験をしていると、「自分だけがわかる」というのは逆に怖いのです。
では私の理想はどういうものかというと、
文字列は自分以外でも使うシンプルなものだけれど
見破られる確率が少ない
というものです。
具体的には、
思い浮かびやすい単語や英数字の文字列を2~3こ選び、それをピリオドでつなぐようにしています。
単語や英数字は、思い浮かびにくいものや意味のないものは逆に使いません。
他人はわからないかもしれないけど、自分もわからなくなったら元も子もないからです。
いちいち「?」だの「#」だの、英文字は数字に変えるだのしていたら、頭が混乱してしまいます。
たとえば、
「ippukusan」と「sengoshi」をピリオドで結んだ「ippukusan.sengoshi」で
パスワードのチェックにかけると、「強い」と出ます。
コンピューター セキュリティ
https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspx
たった2つの単語しかつなげてなくても、「強い」パスワードにできるのです。
もちろん、「いっぷく」のブログのパスワードに、さすがに「ippuku」は使いません。
あくまでこれは例で、もう少しわかりにくいものにします。
同じ回覧板のメンバーと、学校時代の担任の名前、これまで使ってきた電話番号の下4桁を組み合わせるとか。
その場合、具体的な名前は忘れても、該当する人名や数字を順に組み合わせれば、いずれハマるでしょう。
該当するリストを作っておけば、自分に不測の事態が生じても、家族に代わってアクセスしてもらえます。
それで、ある程度時間がたったら、変更します。
変えなくてもいいのかもしれませんが、私の場合、こういうブログなどでうっかりヒントになる個人情報を明かすこともあり得るので念のため。
パスワードを盗まれたことは1度もありません。
1度、Gmailに不審なアクセスがあったとグーグルから連絡がありましたが、そのとき設定していたパスワードは8文字で、結局解読できなかったようです。
グーグルは、何度か間違ったパスワードを入力すると文字認証が入るし、楽天はアクセス自体ができなくなりますね。
そのように、セキュリティがしっかりしたサービスを利用することも大切だと思います。
先日、私はPSNで嫌な思いをしたことを書きましたが、サービスの名前は知られていても、意外にセキュリティが甘い場合もあります。
パスワードの決め方は、それぞれの価値観に基づくもので絶対的な正解はないかもしれませんが、後顧の憂いのないようにできる用心はしておいたほうがいいでしょう。
![パスワードマネージャー 3年版 ダウンロード [ダウンロード] パスワードマネージャー 3年版 ダウンロード [ダウンロード]](https://images-fe.ssl-images-amazon.com/images/I/41EqZ9wdViL._SL160_.jpg)

私は2011年に火災を経験した時、パソコンも回線も全焼しました。
事故後10日目ぐらいに、やっとiPhoneを入手してメールだけ復活しました。
パソコンは、そこからさらに1週間ぐらいしてから使うようになりましたが、しばらくは緊急の事後処理や手続きに追われ、気がついた時には、利用していたWebサービスのIDとパスワードの多くを忘れてしまいました。
何しろそれらを記録したデータごと燃えてしまいましたからね。
このブログはよく復活出来たと思います。
それはともかく、冒頭の『東京スポーツ』では、トレンドマイクロの高橋昌也氏が、パスワードの管理と生成についてコメントしています。

『東京スポーツ』(2015年1月29日付)より
その要旨は、
・トレンドマイクロの調査では、1人平均10のWebサービスを利用しているが、93.1%が同じパスワードを使いまわしている
・最近は“使い回しユーザー”を標的にした約80万件の不正ログインがあったが、情報や金銭を目的としたものが約9割をしめる
・その対策にはパスワードを強化すること
・セキュリティの強いルーターや、有料のパスワード管理ツールなどが有効である
というものでした。
まあ、トレンドマイクロ自体が有料のパスワード管理ツール「パスワードマネージャー」を発売しているので、もしかしたらペイドハプ(記事の体裁をした広告)かもしれません。
ただ、混ぜっ返すわけではありませんが、そのパスワード管理ツールを使うにもパスワードが必要なわけです。
その管理はどうするの? という疑問もあるんですけどね。
そのパスワードを盗まれたら、利用しているWebサービスは全て乗っ取られてしまいます。
もしパスワードを忘れた場合、クラウドサービスならサービス元に問い合わせることになりますが、結構本人確認で手こずるんですよね。
ですから、パスワード管理ツールを使えば完璧、と断言もできないのです。
いずれにしても、ネットのアクセスが、パスワードによるログインのシステムである以上、いかに安全で本人が覚えやすいパスワードを生成し管理するかは避けて通れない問題なのです。
4段階もあって「安全でなおかつ忘れにくい」?
それで、同紙には具体的に以下のパスワード生成方法が書かれています。
1.個人情報からは容易に想像できない好みの言葉を英語で表記
(競走馬のゴールドシップが好きだからgorushiにしようとか)
2.その中の例えば英字のoを数字の0に置き換えるなど自分だけがわかる数字にする
(g0rushi)
3.それを単語や記号で挟む(#g0rushi?)
4.利用するサイトごとに末尾にfacebook、LINEなどと加えるとベター(#g0rushi?LINE)
ということなんです。どうでしょうね。

安全かもしれませんが、いろいろ手を加えているので、忘れてしまいそうですね。
たとえば、「自分だけがわかる数字にする」と書かれていますが、これがクセモノなんです。
自分だけがわかるということは、もし自分が忘れたら、永久に誰もわからないということだからです。
私は火災で、ほんの数日パソコンをいじらないだけで、だいぶ忘れてしまいました。
それは、いろいろ緊急の雑事に追われていたことと、パソコンから離れたことが重なったレアケースかもしれませんが、とにかく私のような経験をしていると、「自分だけがわかる」というのは逆に怖いのです。
大事なのは文字列そのものよりも組み合わせ
では私の理想はどういうものかというと、
文字列は自分以外でも使うシンプルなものだけれど
見破られる確率が少ない
というものです。
具体的には、
思い浮かびやすい単語や英数字の文字列を2~3こ選び、それをピリオドでつなぐようにしています。
単語や英数字は、思い浮かびにくいものや意味のないものは逆に使いません。
他人はわからないかもしれないけど、自分もわからなくなったら元も子もないからです。
いちいち「?」だの「#」だの、英文字は数字に変えるだのしていたら、頭が混乱してしまいます。
たとえば、
「ippukusan」と「sengoshi」をピリオドで結んだ「ippukusan.sengoshi」で
パスワードのチェックにかけると、「強い」と出ます。
コンピューター セキュリティ
https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspx
たった2つの単語しかつなげてなくても、「強い」パスワードにできるのです。
もちろん、「いっぷく」のブログのパスワードに、さすがに「ippuku」は使いません。
あくまでこれは例で、もう少しわかりにくいものにします。
同じ回覧板のメンバーと、学校時代の担任の名前、これまで使ってきた電話番号の下4桁を組み合わせるとか。
その場合、具体的な名前は忘れても、該当する人名や数字を順に組み合わせれば、いずれハマるでしょう。
該当するリストを作っておけば、自分に不測の事態が生じても、家族に代わってアクセスしてもらえます。
それで、ある程度時間がたったら、変更します。
変えなくてもいいのかもしれませんが、私の場合、こういうブログなどでうっかりヒントになる個人情報を明かすこともあり得るので念のため。
パスワードを盗まれたことは1度もありません。
1度、Gmailに不審なアクセスがあったとグーグルから連絡がありましたが、そのとき設定していたパスワードは8文字で、結局解読できなかったようです。
グーグルは、何度か間違ったパスワードを入力すると文字認証が入るし、楽天はアクセス自体ができなくなりますね。
そのように、セキュリティがしっかりしたサービスを利用することも大切だと思います。
先日、私はPSNで嫌な思いをしたことを書きましたが、サービスの名前は知られていても、意外にセキュリティが甘い場合もあります。
パスワードの決め方は、それぞれの価値観に基づくもので絶対的な正解はないかもしれませんが、後顧の憂いのないようにできる用心はしておいたほうがいいでしょう。
![パスワードマネージャー 3年版 ダウンロード [ダウンロード] パスワードマネージャー 3年版 ダウンロード [ダウンロード]](https://images-fe.ssl-images-amazon.com/images/I/41EqZ9wdViL._SL160_.jpg)
パスワードマネージャー 3年版 ダウンロード [ダウンロード]
- 出版社/メーカー: トレンドマイクロ
- メディア: Software Download
Facebook コメント