戻る

• ｢安全なパスワード｣の条件
  
• 実際の破り方
  
  • ネット越しの技術
    
    • ウイルス、フィッシングサイトの見分け方
      
  • ネット以外の方法
    
• 安全なパスワードをどう覚えるか
  
• どの程度の安全性が必要か
  
• 実用可能なパスワード例
  
  • 安全にメモを保存する
    
  • 単語を多数組み合わせる
  • ベース部分と個別部分を組み合わせる
    

安全なパスワードの条件

• 名前、生年月日等ではない
• 辞書に入った、単純な英単語1つなどではない。大文字小文字を混ぜていたとしても無駄。
• ゲーム、映画、アニメのタイトル、キャラ名ではない
• 英字だけ、数字だけでなく、英字は大文字小文字を不規則に混ぜ、記号等も含ませた英数字
• パスワードをメモに記録しない。
• 当然、モニター、筐体に付箋を貼り付けない。
• 最低8文字以上
• 同じパスワードを複数のパスに流用しない。
• 定期的に変更する

• 名前
  まず"名前"などは不可です。メールアドレス等アカウントと同じパスワードとか。
  アカウント名とパスワードが同じIDはJoeと呼ばれ、それを探すためのソフトなどもあります。白木葉子(明日のジョーのお嬢様の名前がモデル)とか。あなたが誰かからつけ狙われる理由がなかったとしても、
  
  ｢誰のメールアドレスでもいいから、不正アクセスして迷惑メールばら撒くために使いたい｣
  
  とか思ってる人に利用されかねません。
  また、誕生日、住所、電話番号等、簡単に手に入る情報を使ってはいけない。
  誕生日はともかく、住所等については、ネットワーク越しの脅威に対しては問題ないかもしれません。しかし、あなたの周囲にいる人が、個人的興味からメールを盗み見ようと考えていないとも限らないのです。
  
  
• 辞書
  辞書にある一単語というのも、大変危険です。英語の辞書というか、単語リストは簡単に作成されているらしいです。(そういうリストってどこにあるのだろう？)
  
• 有名な固有名詞
  同様に、アニメ、ゲーム、車、スポーツ選手等、一単語だけというのはやめるべきです。英語の辞書同様、これらの目的の辞書もインターネットから入手可能です。
  
• 英数字、記号(:,@ !?)を混ぜる
  記号を使うにしても、元々のパスワードが英語1単語とかで、aの代わりに@を使うとか、bの代わりに6を使うとか、そのあたりだと結構簡単に破られてしまうとか。
  
• メモの使用
  メモを記録すると、そこからあっさり知られてしまいます。
  怪しい文字列を付箋に書き込み、それをモニター、筐体に貼ってあれば、どこにログインすればいいのかも丸分かりです。
  
• 長さは8文字以上
  6文字あたりでは、英数字、記号をあわせたものに対する総当りの調査でも、数分(数秒？)で終了してしまいます。7文字もわかりません。8文字あたりになると、不規則な文字列で作ったパスワードなら、かなり時間をかける必要があります。多分、8文字に増えたあたりで時間が一気に延び、1週間パスワードクラッカーを動かし続けても終わらないくらいには時間がかかるようになっています。
  
  
• 一つのパスワードを複数のアカウントに使用しない
  また、一つのパスワードがばれてしまったとき、そのパスワードを他にも同じパスワードを使っていた場合、そちらも同時にアクセスされ、荒らされてしまうかもしれません。一つ一つ、別のパスワードを利用するべきです。
  
  

  実際の破り方

  
  いたずらに「危険」といわれても、何が危険か分からないと対応できませんので、例として、代表的な手法を私が覚えてる限り書いてみます。実践したわけではないのですが。
  また、当然ここに書く以外にもいろいろあるでしょうし、ここに書かれたことを対処していてもパスワードがばれてしまうことはあるかもしれませんが…
  
  上に書いた｢安全なパスワードの条件｣のことを考慮してさえいれば、8文字程度のパスワードであっても、｢現実的には破られない｣ということになっています。
  ｢現実には｣とか、｢実際問題では｣とかの断りを入れることがどういうことかといえば、個人のパソコンやメールアドレスというものは｢時間を掛ければ破れるけれど、そこまでして破るほどのものでもない｣ことがほとんどだからです。
  
  自転車などと同様で、その気になればカギを破ったりペンチやハンマーで破壊したりできることは分かっていても、駅前などでは、そこまでしないでも盗める自転車がゴロゴロあるのです。あなたのPCにこだわる必要はあまりないことが多いです。
  
  また、自転車に乗ろうとカギを開けたタイミングに恐喝される可能性だってゼロではありませんから、カギというものが完全に安全なわけではないというもの同様、パスワードについても、あなた一人をターゲットとしてがんばり続ける誰かがいた場合、長い時間の後に破られてしまうかもしれません。また、オフィスなどにおいて、あなたが席を立った数分の間に、キーロガー(キーボードに打ち込まれたキーを記録するためのプログラム)をインストールされればすぐにパスワードがばれてしまうかもしれません。
  
  多くの場合、ネット上の誰か(不特定多数)から狙われるようなことをしたり、身近な人とトラブルを起こしていない場合、あなたのPCにはそれほど価値を見出されることはないでしょう。その場合、｢何日もかけないと破れないであろうパスワード｣であるのなら、他のPCにターゲットを移してしまうであろうことが予想されます。
  
  方法には主に2通りあり、ネット越し(インターネットを通じてだけ触れ合う、または一切関係のない赤の他人)、とそれ以外(インターネット越しではなく、あなたの友達や近所を訪れることができる程度身近にいる、近づける人)になります。
  
  
  

  ネット越しの技術

  
  ネット経由では、ウイルスのようなソフトウェアを使ったりフィッシングサイトと呼ばれるようなものを利用します。
  ウイルスと言ってもいろいろありますが、感染したコンピュータ上のデータを勝手に削除というようなもの以外にも、不正なアクセスが可能になるようなものも知られています。
  
  
  • 相手のコンピュータから、重要そうなデータを探し出してウイルス作成者に送るもの
  • 相手のコンピュータに入り込めるような入り口を用意し、ウイルス作成者を呼び寄せるもの(バックドア)
  • ユーザーが入力したデータを記録し、作者に送信したり、どこかにためておき作者が回収するのを待つもの(キーロガー)
  
  まとめてスパイウェアとかトロイの木馬とか言われたりします。
  
  キーロガーそのものは完全に悪いソフトウェアではなく、全情報を記録しておくために自主的に入れる人がいたり、自分のキー入力速度を測るためなどに入れてみる人もいるかもしれません。(それゆえに、キーロガーの開発そのものを悪とはしにくかったりするそうな)
  ウイルスに連動させるものでなければ、自由に入手できる類のもので、それを使えば、ネット越しにではなく、同僚が席を外している間などに人のPCに仕込むことができます。
  
  
  フィッシングサイトは近年広く認知されてきており、女子中学生がネットゲームのアイテム欲しさにフィッシングサイトを作ったこともありました。
  私も現在のドメインに自由にURLを作り出せるので、例えばhttp://mixi.jp.userlogin.egfinal.jp/とか作れます。多分。そこに実際のみぃのサイトからコピーしてきたページを用意し、目的とするターゲットに｢このページからアクセスすると、アンケートに答えるだけで抽選で500人に1万円当選のチャンスが！｣みたいな煽り文句と一緒にメールを送り、後は引っかかるのを待つ。
  
  
  元々電話勧誘で怪しい商品を売りつけたり、その折同年代の知人のリスト(卒業アルバム等)を回収しようとする手口もありました。基本的には、やってることは似ている気がします。
  
  
  気をつけるべきは、I love you のメールによるウイルス同様、｢怪しいファイルを開かない｣とか、｢怪しいサイトにアクセスしない｣になるんですが、特定のネットゲーム、パスワード制のコミュニティサイト(mixiとか)、銀行のサイトなんかで、｢最近、フィッシングサイトへの誘導が増えています｣とかのアナウンスがあれば注意はするものの、初期の被害者の人は、そういった情報なしにパスワードを盗まれてしまいます。しっかり理解していれば怪しいサイト、ファイルは見分けられますが、それはすべてのユーザーには必要な知識ではないし、それを徹底しようとするとかなり不機嫌になる人も出てくるでしょう。｢こんなもの使う必要ない！｣と。
  
  
  

  • オマケ情報：ウイルス、フィッシングサイトの見分け方(一例)

    
    ユーザーがウイルスを見分けることは難しいですが、簡単な対策を１つ。
    また、近年、フィッシングサイトによる被害が増えているため、そちらも少々書いておきます。
    
    基本的なことでしかないですが、ウイルスへの対策というと、ウインドウズのファイルの拡張子を表示させ、自分が使うファイルの拡張子をよく知っておくことくらいでしょうか。
    文書はファイル末尾が.txtかdoc,エクセルならxls、パワーポイントならppt、画像はmp3,動画はmpgとか。
    
    これで、末尾が.exe,.com,.vbsとなっているファイルは不味い。ときどきdoc,xlsあたりのマクロ機能を利用して悪さをするものもありますが。
    
    
    コンピュータの雑誌とかを見ると、初心者の第一歩として、たいてい｢拡張子を表示しろ｣と控えめに書いてあります。マイクロソフトはいらないものとしつつあるのかもしれませんが、実はかなり必要な設定なのでは？
    私も、初めて触るコンピュータではまず拡張子を表示します。それが自分のものでなく共用のものであったとしても、長く使いそうなら表示させることもあります。
    多少邪魔な情報が出てきて、なんとなくシステマチックな英語文字列が好きでない人もいるかもしれませんが、中にはアイコン(メモ帳っぽかったり、書きかけの絵だったりする、ファイルの形)はフォルダで、ファイル名が｢エロ画像詰め合わせ .exe｣とかのウイルスも無いわけではありません。昔は必要性に迫られて存在していたことではありますが、現在では必要ないとも言われ設定で隠すことができるようにはなっているのですが、これはこれで便利な特徴だと思います。
    
    
    ・フィッシングサイトのほうは、重要なのはhttp://以後の一つ目の/があるところの左側です。
    
    問 ｢http://egfinal.jp/という、パスワードを入力して入る会員制のサイトがあったとします。
    このサイトのオーナーは一応信用できるものとしますが、近年、このサイトのユーザーを狙ったフィッシングサイトが登場してきています。
    フィッシングサイトとして怪しいものをあるだけ選べ。｣
    
    という設問において、
    (1)http://egfinal.jp/fishing.html
    (2)http://egfinal.fishing.jp/
    (3)http://egfinal.jp.fishing.jp/
    (4)http://fishing.jp/egfinal.jp/
    (5)http://fishing.egfinal.jp/
    という選択肢があった場合、あなたは正解できるでしょうか。
    運抜きで、正しく理解していて答えられるなら問題ないでしょう。正解は下の部分をドラッグして反転させてください
    

    (1)安全 egfinal.jp以下に作られたページである (2)不審 egfinal.jpではなくfishing.jpのサブドメインにegfinalを作ったものである (3)不審 egfinal.jpではなくfishing.jpのサブドメインのjpのサブドメインにegfinalを作ったものである (4)不審 egfinal.jpではなくfishing.jpのページである (5)安全 egfinal.jpのサブドメインである

  ネット以外からの方法

  
  
  • 人の机や、手帳を覗き見る
  • 席を離れている最中にキーロガーを仕込む
  • パスワード入力時に背後に立つ
  • 直接聞く
  
  などがあります。｢直接聞く｣とかあほらしい気もしますが、｢絶対悪用するわけがない。悪用するなんて疑うことが心外だ｣といった態度を取られると困ることもあるでしょう。何か必要があるとき以外は、当然どんな相手にも教えるべきではありません。そのような態度でパスワード開示を求めることは、正直、セキュリティ意識が低すぎると言えます。その相手もよく使うアカウント、パスワードであったならば、共用のアカウントを別に容易したほうがいいでしょう。自分以外の人に知られてはいけない情報(クレジットカード情報など)を含めないように注意する必要があるので、クレジットカードを登録しているもののパスワードについては特に注意です。
  
  FFXIアカウントハック事例：
  FFXI Earth@Quetzalcoatl事件 まとめサイト
  
  あと、パスワード入力時には、背後に人が立っていないか注意。
  
  むしろ、背後に音も無く立っているという状況よりも、親しげに世間話などをしながら、パスワードを入力しようとしている場面に気づきながらも傍らを動こうとしない、目をよそに逸らす等の配慮が無いなどの態度をとるケースのほうが怪しいです。アホなだけかもしれませんが。
  
  
  また、キーロガーでなくても、同一オフィスにおいては他人のパスワードを見られるものなのかもしれません。ネットワークカードまでは、自分に必要、不要問わず多数のユーザーからの情報が送られてきていますが、いらないものは捨てることになっています。この設定をいじると、外部から｢全ファイル取得状態｣のようになっていることは判別できる状態ではあるものの、他人の送った情報を多数集められます。実のところ、メールの内容のみならず、パスワードについてさえ、基本的にはパスワードの文字列をそのまま読める形で送っています。メールソフトで5分に一度｢新しいメールがないか問い合わせる｣としている人の場合、5分に一度の割合で自分のパスワードを晒していることになります。私は試したことがありませんし、最近はスイッチングハブが一般的に使われるようになっていると思うので、そう簡単には見られていないかもしれませんが。
  

  安全なパスワードをどう覚えるか

  
  どのようなパスワードを使えばいいか分かっていても、上のリストの中で両立しづらいものがあります。
  
  
  • パスワードをメモに記録しない。
  • 同じパスワードを複数のパスに流用しない。
  • 定期的に変更する
  
  
  このあたりです。
  簡単に予測できなパスワードで、一度覚えても定期的に変えて、複数アカウントを持っているなら同時に複数のパスワードを暗記するというのは難しいでしょう。
  セキュリティレベルとあなたのPCの価値の関係からして、場合によってはPCごと盗まれるとか、刃物で脅されてパスワードを自供させられる可能性を考えれば、どれほど長く意味不明なパスワードであったとして安全ではないのですから、どこかで、上の条件で破られる部分があってもいいはずです。
  
  
• メモしてしまう
  メモに記録という部分が、一番やりやすいと思います。暗記に頼る必要がなくなります。毎日ログインするようなサービスならいいものの、クレジットカードの請求予定額の確認(限度額とかも変えられる)、一度だけ利用してみて、次はいつ使うかわからない通販サイトとか、ある程度注意を払う必要があるものの、簡単なパスワードで済ませてしまうわけにはいかず、またPCに記憶させるとかも危険に思えるネットワーク上のサービスが多数あります。これらについて、全てを記憶し、忘れないでいることは困難です。
  
  
• 複数のアカウントに使ってしまう
  複数のコンピュータ、サービスに同じパスを使うというものは？
  まず、これによってどのような危険が生じるかを知る必要があるでしょう。
  通販サイトで購入されてしまう可能性、SNS、ニコニコ動画等での活動内容が調査されることになりかねません。
  
  
• 変更はしない
  定期的に変更しないと……
  知人などに知られた場合、もしくは知人じゃなくてもストーカー等が相手になると、通販、ネット上へさらしたりといった眼に見えた被害が出ないながらも、あなたのパスワードを入手してからずっと、息を殺してメールを読み続けている可能性はゼロではありません。キーロガーとのあわせ技を使っていたりしない限り、一度知られたパスワードも、更新した時点で使い物にならなくなります。
  
  
  以上のような問題を解決するため(問題と共存するため)の方法を下に書いてみます。

  安全にメモを保存する

  
  私の主観も混じりますが、メモというのはやはり捨てがたい手段です。オライリーの本でも、｢知人に見られた際、怪しまれることは間違いないが……｣としながらも、パスワードが隠された文章のメモを財布に入れておくことを肯定しています。メモしなくても、システムの都合上ネットワークに暗号化せずに流してしまうものもあります。ナイフで脅されるかもしれません。机の中、手帳の中のメモを見られる可能性があるならば、パソコンを盗まれたり、HDDを直接覗かれたりする可能性もゼロではないわけでしょう。ならば、安全にメモする方法を探すことにしましょう。
  
  
  パスワードのメモというものは、ネット越し以外の身近な人には弱いものの、一般的には有効な手段ではあります。この際、PCにテキストファイルとして保存するなどすると、敵は身近な人間だけでなく、ネットワーク越しの世界中の人間が対象となります。お勧めできません。
  パスワードも、直接的に書いてしまうより、何か暗号のようにすると有効かもしれません。
  
  My Very Earnest Mother Just Surved Us Nine Pizza
  
  で、Marcury,Venus,Earth…と太陽系の惑星の並びの頭文字が覚えられますが、こんな感じで。この場合、mvemjsunpという9文字のパスワードが隠されていることになります。
  Unixセキュリティに書いてあったことによれば、｢見られた場合、変なメモを持っていることを怪しまれることは間違いないが｣とありましたし、日本人が英語のメモを持ち歩いていたりしたら明らかにあやしいと思われるでしょう。日本語のメッセージにして、それをローマ字にしたときにパスワードが分かるようにしておくか、メモを財布に入れたりせず、どこか人に見られない(でも取り出しやすい)場所に隠すべきでしょう。
  日本人のメモの場合、英語で書いてあるのはかなり不自然で、ローマ字に直して入力するパスワードの場合、母音がある程度多くなるため、｢ローマ字8文字｣というものは、｢アルファベット8文字｣から｢ひらがな50音４ケタ｣程度に変わってしまうことに注意してください。
  
  例として、ひらがな4字とアルファベット8字で作製されるパスワードの量を比較してみますと……
  
  アルファベット小文字オンリーの場合の８桁=26^8 = 208,827,064,576
  ひらがな50音の4ケタ=50^4=6,250,000
  
  です。およそ3万倍？
  実際は、濁音、ゃゅょ、アルファベットの方も大文字小文字等を混ぜた分を考慮せねばなりませんが、アタックする側が｢ローマ字である｣と仮定してアタックしてきた場合、ひらがな4文字分では足りないと思われることを覚えておいてください。
  
  
  ノーベル賞物理学者、リチャードファインマンは、自伝『ご冗談でしょう、 ファインマンさん』の中で金庫破りに精を出している時代があったことを書いていますその中で、｢秘書は彼(彼女)の雇い主の金庫の暗証番号を、手帳や引き出しの底に隠しているものだ｣とあり、実際それで知人の金庫を空けたことがあるらしいです。
  
  

  2つ以上の単語をあわせる

  
  
  英単語にするにしても、かなりセキュリティは向上するらしいです。さらに、2単語の間、後ろ、前などに数字や記号を入れるとさらに安全になると思われます。
  『萌え萌えうにっくす』では、数十文字のパスワードを使っていると書いてありました。
  中身は、誕生日、映画やアイドルの名前だったりしても、その組み合わせは無限大になるほどに様々な情報が含まれていました。
  これも、キーロガー、ネット上の盗聴などを考慮すればいつかは変えなければならないわけですが、覚え方を上手く工夫できれば、その長さは魅力です。
  
  
  

  ベース部分と個別部分を組み合わせる

  
  
  全部を覚えるのは無理でも、全部を同じパスワードにしないまでも、多くのパスワードに共通することになるベース部分5〜8文字と、個別に異なる3〜5文字程度を組み合わせたパスワードを作るという方法もあります。
  ただし、ヤフーのメールアドレスの下3桁がybbだったり、gmailの最後がgmlだったりしたらバレるかもしれません。
  一つのパスワードが漏れた場合、ベース部分については全てのパスワードに対して変更することになるでしょうが、ベース部分、個別部分を見分けれられなければ、それなりの安全性を発揮するでしょう。気付かない内に破られてしまい、それについてベース部分を見抜かれた場合(2つパスワードを盗まれた場合、ベース部分が見破られるのは確実)、 ベース部分8字、個別部分5文字のパスワードであった場合、ベース部分を1塊(=1文字)と見なした6文字のパスワードを解析することで他のパスワードも知られてしまうかもしれません。結構危険かもしれませんね。でも、連続で機械的にアタックできるものって、zipパスワードとUnixのログイン用パスワード(メール用パスワード)くらいですから、通販サイトとかについては十分に効果を発揮するかもしれません。
  
  

戻る