簡単に破られることがない強力なパスワードを作るのは簡単です。キーボードを2、3秒でたらめに連打して、50字の意味不明のパスワードを作り、それをコピペしてパスワードマネージャーに入れておけば、記憶する必要もありません。

ほかにもやり方はありますが、どんな場合も覚えておいたほうがいいルールが2つあります。1つ目は、長くて難しいものにして、簡単に推測されないようにすることです。パスワードを破るために片っ端から試されても大丈夫なものにしてください。そういう意味では、「mycatiscute」は悪い例であり、「Sj12#8)23&$k51*as.x*3rffalwo@74d*23」は良い例です(これをそのままコピペして使わないでくださいね)。

問題は、大文字小文字を混在させた意味不明の単語をパスワードとして設定した後です。確かに破られにくいという点では抜群に強力ですが、普段使っていない端末やPCにログインしようとすると、パスワードを間違えずにタイプするのがものすごく大変です。

たとえば、任天堂スイッチをFacebookにつないで、一緒に遊ぶ友だちを見つけようとすると、じっくり腰を落ち着けて慎重に64文字のこの上なく安全なパスワードをタイプする必要があります。いったい間違えずにできるものでしょうか。スマートTVをオンラインのアカウントにつなげてマニュアルでスクリーン上のキーボードをリモコンで操作するのは、さらに大変です。

良いパスワードは使いやすい

こんなとき最適なパスワード管理アプリは、LastPass1Passwordの2つです。どちらもランダムなパスワードをどのようなサイト用にもサービス用にも簡単に作成しますが、強力なのにタイプしやすいパスワードにするために使える機能がいくつかあります。

やたらと長いパスワードにする必要はない

「自動生成」サービスを使うときは、極端なことをする必要はありません。16文字より30文字のパスワードのほうが強力なのは確かですが、それ以上に重要なことがあります。セキュリティ・アーキテクトのDameon “PhoneBoy”のWelch-Abernathyさんは、大文字小文字を混在させた16文字のパスワードは、変な記号を入れなくても、十分強力だと指摘しています。

つまり、数学的に考えると、必要だと思っているほど長いパスワードは必要ないということです。12字文字以上で、特殊文字もすべて使えるなら、相当凶悪な攻撃にも十分対処できますが、大文字小文字を混在させた16文字のパスワードでもかなり検索空間が大きいので、十分推測されにくいものになります。

このように、必ずしも長くする必要はないということです。そのほか、パスワードの設定には何を気をつけておけばいいのでしょうか。

記号や変わった文字の使用は避ける

20180430password2
Image: David Murphy via Lifehacker US

LastPassも1Passwordも、パスワードを自動生成するときは、パラメーターを設定するオプション機能があります。これはパスワードの安全度を少し下げてしまいますが、タイプするときかなり便利なパスワードができます。アプリが文字を無作為に並べても、敵対勢力に推測されることは現実的には不可能です(これは前述した通りです)。

1Passwordで新しいパスワードを作るときは、「記号の使用を許可する」にチェックマークがついていないことを確認しましょう。数字は使っても大丈夫です。というのは、変わった記号を使うとそれを端末にマニュアルでタイプするときキーボードの画面を切り替える必要があるかもしれませんが、数字だとそんな必要はないからです。

あと、「曖昧文字の使用を許可する」もチェックを必ず外しておいてください。数字の「1」やアルファベットの「0」をタイプするつもりが、間違ってアルファベットの「I」や数字の「O」をタイプしてしまうことになりかねないからです。

20180430password3
Image: David Murphy via Lifehacker US

LastPassを使うと、もう少しカスタマイズする余地があります。自動生成されるパスワードの長さを設定できますが、たとえば、A-Z(使用する)、a-z(使用する)、0-9(使用する)、変わった記号(使用しない)というように、そのパスワードに使える文字を決められます。最低何個の数字が必要かも設定できるので、生成可能なパスワードの数がさらに増えます。また、1Passwordのところでおすすめしたように、LastPassでも曖昧文字の使用を回避できます。

パスフレーズ使用の長所と短所

理論的には、記憶しやすさという点では、好きな歌の歌詞から84字でできているフレーズを選んで覚える方が84文字の無意味な単語を覚えるよりはるかに楽です。強力なパスフレーズ、「Password123」のような短いパスワードの代わりに「P@$$w0rd123」のような意味のないやみくもなパスワードを設定するよりは、ずっと良い対策です。

ただ、長いパスフレーズを使用するときは2つだけ問題があります。1つ目の問題は、端末(あるいはサービス)が文字数の制限を設けていて、長いパスフレーズが入力できないことがあることです。最大16桁という上限があるかもしれません。16桁でも十分ですが、パスフレーズにしたい好みの引用が32字以上あるときは、ちょっと残念です。

2つ目の問題は、大好きなシェークスピアの引用をパスワードとして使うと、スクリーン上でやはりたくさんタイプしなければならにことです。パスワード管理アプリからパスワードを引き出すのは簡単ですが、プレイステーション4に何度か「itwasthebestoftimesitwastheblurstoftimesitwastheageofwisdom...」と手でタイプしなければならないとなると、真ん中あたりでスペルミスをしたら笑えません。とは言え、短いけれど無意味なパスワードよりは、一般的な長いパスフレーズをタイプする方がスペルミスは少ないかもしれません。ですから、パスフレーズの使用は考えてみる価値はあります。

20180430password4
Image: David Murphy via Lifehacker US

おもしろいフレーズが頭に浮かばないときは、1Passwordを使えば、ランダムな単語を使ってパスワードを作ってくれます。自動パスワード生成にして、文字の代わりに「単語」を選択し、ピリオドやハイフンなど単語の間に入れるものを好みに応じて選びます。

LastPassは、「発音可能な」パスワードを作るオプションがありますが、それでも訳のわからない言葉が意味のある単語になるわけではありません。自分で意味のあるフレーズを考える必要があるでしょう。


Image: Lifehacker US

Source: Pwned Passwords, LastPass, 1Password, Gizmodo

David Murphy – Lifehacker US [原文