2013-02-16

Webサービスでかんたん「使いまわし」パスワード管理術

安全だけど覚えやすい。この相反する2つの要求を満たすパスワードを考え出す方法を考えてみました。

一見複雑ですが、一度覚えてしまえば後は簡単に思い出すことができるようになります。



使いまわしパスワード管理術


4ステップになっています。


  1. アルファベットから2文字 ※使いまわす
  2. 数字から2文字 ※使いまわす
  3. ドメイン名の先頭2文字と末尾2文字
  4. 1, 2, 3 を結合して完成



【例】Facebook の場合


実践例として Facebook に登録するパスワードを考えてみましょう。

  1. アルファベットから2文字。ここでは「zk」にしておきます。
  2. 0〜9の数字から2文字。ここでは「80」にしておきます。
  3. Facebook のドメイン名の先頭1文字と末尾1文字を抜き出す。FacebookのURLの https://www.facebook.com/ 太文字の部分がドメイン名なので、先頭1文字は「fa」末尾1文字は「ok」です。これをつなぎあわせて「faok」として使います。

1〜3をつなぎ合わせると、「zk80faok」というパスワードが完成しました。これが Facebook のパスワードです。

手順1と手順2の「zk80」の部分は他のWebサービスにも使いまわします。

使いまわしの例として Twitter のパスワードも考えてみましょう。
Twitter のURLは https://twitter.com/ でドメイン名の先頭2文字と末尾2文字をあわせると「twer」なので、Twitter に登録するパスワードは「zk80twer」になります。



特徴・工夫


このパスワード管理術の最大の特徴は、複数のサービスで同じパスワードを使っていない点です。その代わり、各々のパスワードの強度はある程度犠牲にされています。

そして、冒頭の法則と使い回し部分だけ覚えておけば、紙やファイルにメモしなくても覚えられて、PCやスマートフォンどんな端末でも使えます。



パスワードの強度 (リスト攻撃と総当たり攻撃)


今回紹介した方法によって作ったパスワードがどれほどの強度なのかを確かめておきましょう。

最近猛威をふるっている リスト攻撃 に対しては、今回のパスワード管理方法は有効です。

なぜならドメイン名を元にパスワードを作っているので1つのサイトのパスワードが流出しても被害が広がりにくいからです。



情報処理推進機構


では総当たり攻撃はどうでしょうか。上の画像では普通のPCを使ってどれくらいの時間でパスワードを破られるかが紹介されています。小文字英字と数字の組み合わせは「使用できる文字数」が35文字なので、8桁の場合は最長でもおそらく22日ほどで破られてしまうだろうということが推測できます。これはあなた1人を狙った場合だと、脅威になるでしょうが、多くのユーザーがいるサービスでランダムで狙われた場合だと攻撃者に諦めてもらえるのではないかという程度でしょうか。
※実際には何度もパスワードを間違えるとロックがかかるサイトも多いのでそれほどリスクは高くないとも考えられます



さらなる一歩



これ以上の安全性と利便性を求めるのであれば、上記のようなパスワード管理アプリを使うのがよさそうです。

使いこなすのが案外難しく、マルチプラットフォーム対応 (PCでもスマートフォンでも使えるようにする) にはお金がかかってしまうなどのよくない点もありますが、安全なパスワードを効率的に管理するには良いツールだと思います。

筆者もパスワード管理アプリを使っています。