パスワードの作り方
- (2020-09-17 10:57:01)
世界的に有名な、最も推測しやすいパスワードのトップ10を飾るものを、偶然チョイスした点で、私の感覚は平均的な人の典型である。
愚かなパスワードの次は好きな芸能人の名前をパスワードにした。
ある日、他人に開示する事情があり、非常に恥ずかしかった。その後、人の名前は入れなくなった。
その後、いろいろポリシーを作ってみるものの、なかなかこれといったポリシーに至っていない。
なぜ、パスワード制作ポリシーは難しい?
(1) パスワード制作:覚えやすく忘れにくいパスワードは必ずクラッカーにとっても類推しやすい
(2) パスワード変更:ある規則制をもって変更したいが、パスワードが数個盗まれると、規則性が類推される
絶対に外したいパスワード
世界中の人々が選択するパスワードの統計学的な研究が進んでいる。
驚くことに、多くの人が同じようなパターンで、同じようなパスワードを選択することがわかっている。
実におもしろい現象である。
つまり、自分で思いつく程度のパスワードはクラッキングのプロたちからはお見通しということだ。
空き巣犯罪のプロは人の家に押し入ると、あっという間に財産の隠し場所を当てる人が多いが、パスワードもプロが相手だと一本とられる可能性が高い。
だから、
(1) 最低でも辞書に掲載されているワードは使わない
(2) 機械的に生成したパスワードが理想だが、覚えられない
(3) よって、自分が知っているワードをあえて変形させたワードが今は気に入っている。
現状
(1) 12-32文字
(2) 日本語ワードの英字表記の変形(辞書に掲載されないコトバ)
(3) 記号 + コアワード + サービス名 + 番号
こういうポリシーでパスワードを選択している。
問題はサービス側が対追いしていないところも多いこと。たとえば、字数制限が最大12文字とか未だにある、少なすぎだろう。
また記号(! # $ % & =_ - など)を認めないところも多い。記号を含めることで強度は格段に上がるのに。
自分がこういうポリシーでもサービス側が、それを認めないと変形ポリシーとなり、状況は複雑化する。
「必ず破られる」という覚悟と準備
どんなに頑張っても、パスワードは破られる。
パスワードを数回間違えるとロックされようなシステムならまだ安全だが、何度でもやり直せるシステム、たとえば、受信メールを読むためのメールサーバへのログインなどは時間をかければ必ず突破される。
人がやるわけではない、複数のコンピューターで同時に、24時間・365日トライアルさせれば、20桁だろうと、32桁だろうと、必ずやられる。
(1) リトライでシステムロックはあるか?
(2) 突破された場合の最悪の事態は?
(3) リスクが高いアカウントはそもそもなるべく作らない、不要になったらすぐに閉鎖しネットでの露出をなくす
必ず破られるので、破られたとき致命傷にならない対策は事前にしておく。