« 池田信夫氏Gmail事件の教訓 | トップページ | iPad電子看板の資料2012 »

2012.10.06

覚えやすいパスワード作成法

昨日の記事の続きです。2012年時点でのパスワード作成法。
Pw2000years

(1). designaholic 「覚えやすくて破られづらいパスワードの作り方」では、名前ひとひねり、利用サービス名、誕生日の記号化、を組み合わせる方法を紹介。
(2). 「覚えやすくて破られにくかった、あなたの...」では数人からの回答あり「自分の本名をローマ字にして逆さから読む」など。
(3). 日経IT pro「覚えやすくて破られにくい...」の記事では、例として歌の歌詞「London bridge is falling down」から子音だけを抜き出し(lndnbrdgsfllngdwn)などを紹介。
(4). 男子ハック「覚えやすくて強力なパスワードづくり」では、核となる言葉とサービスごとの英略語を追加というやりかた。
(5). (パスワードの長さは大事) 
 僕の今の感覚では「パスワードの長さはかなり大切。パスワード更新は年1回程度で充分。英字数字記号を混在するのは大切」ぐらいにとらえています。 2011年6月スラッシュドット記事「お安い GPU で強固なパスワードも用無しに」では総当たり攻撃(Brute Force Attack)でパスワード6文字の場合はGPUで突破に4秒、9文字の大文字小文字混在ランダム文字列では GPU で突破に48 日かかるとの解説ですから、僕がある場所で使っている大事な12文字英数記号混在は長さの点では強い方だと考えています。(なかには10文字のも使ってますが)なお、パスワードの話でよく見かける、「でもキーロガーで抜かれたら一発だろ?」とか茶化す意見は無視しておきます。キーロガーはブルドーザー突入強盗みたいなものですから。
(6). 自衛では守れないネットサービス側の漏洩事故 
 ユーザーが強固なパスワードを使っていてもたまにネットサービス提供の業者があっさりパスワードを流出させる事故がおきます。最近で有名だったのは LinkedIn(リンクトイン)。Kango氏の「 LinkedIn,eHarmony,Last.fmの漏えい事案をまとめてみた。」記事がためになります。こんな事故もあるのでパスワードはサービスごとに違う物を用意したいものです。
(7). ネットサービス企業に望む事
 2012年現在のバランスとして、これは困るなと思うのが3点。(a)パスワードが最大8ケタというサービスはやめてほしい。せめて12文字まで許容してほしい。 (b)パスワードに記号を認めないのも時代遅れ。 (c)パスワードをそのまま平文でメール回答してくる管理方法の企業もやめてほしい。ハッシュで管理するのは当然です(さらにハッシュ関数の種類とか深い話は割愛)。
(2012.11.1追記)
画面を貼ったhow secure is mypasswordのサイトですが、試してみると、結構よくできています。数字だけ8ケタと英字だけ8ケタとでは突破予想秒数も変わるし、記号を混ぜると突破予想秒数がさらに長くなります。英単語のみだと、それに対して「possibly a word」との警告もでますし、数字も「123456」のようなよく使われているものだと「 in the top 10 most used password」のように、警告文が出ます。

|

« 池田信夫氏Gmail事件の教訓 | トップページ | iPad電子看板の資料2012 »

コメント

「パスワード忘れ」でメールアドレス入れたら、平文のパスワードが送信されてくることがたまにあります。怖いですよねえ。

投稿: cozy | 2012.10.10 12:37

平文のパスワードがメールで来るの、
今年も一回経験しました。あれがっかりします。
ほんと。

投稿: なおひこ | 2012.10.10 16:37

コメントを書く



(ウェブ上には掲載しません)




« 池田信夫氏Gmail事件の教訓 | トップページ | iPad電子看板の資料2012 »