こんにちは!フレッチです。
フィッシングなのか何なのかわからない「AppleID パスワードの再設定方法。」というタイトルのメールが話題になっています。
リンクは直接https接続でAppleIDに飛びますし、送信元を擬態しているようにも見えないのですが、登録していない人にも届いているということで不審なことには変わりありません。
これを機に、より強固なパスワードに(※重要!メールのリンクからではなく直接AppleIDのページへアクセスして)変更するべきかと思いますので、私が実践している、強固でかつ覚えやすいパスワードの作り方を書いてみます。
強固なパスワードとは
作り方の前に、強固な(セキュアな)パスワードとは具体的にどういったものか考えてみます。
パスワードを突破しようとする攻撃のうち代表的なのが総当たり攻撃です。
パスワード文字列の工夫だけでほぼ完全に防ぎうるのはこの総当り攻撃だけではないかと思います。私はインターネットセキュリティの専門家ではありませんから他にもあるのかも知れませんが。
総当たり攻撃とは、考えうる文字列をとにかく総当りで試してみるというなんとも力技な攻撃ですが、これの対策はズバリ以下の2つ。
- 文字数を多くする
- 使う文字種を多くする
4文字よりも8文字、アルファベットだけよりも数字も記号も使うパスワードの方が、破られにくいパスワードです。
ということで、この記事では、文字数が多くて数字や記号も使ったパスワードを作ります。
さらに、1つのパスワードは1つのサービスでしか使わないようにすると、さらにセキュリティが向上します。
覚えやすさとセキュリティはトレードオフ
とはいえ、ランダムに文字数が多くて数字や記号が入っているパスワードは、覚えにくいという難点があります。
文字列そのものに意味が無いので、一文字一文字を覚えていないといけません。
サービスごとに異なる、意味のない文字の羅列を覚えるのは大変ですよね。というか不可能です。
私自身、AppleID、Google、Amazon、Evernote、Dropbox、Wordpress、Tumblr、Twitter、Facebookと、メジャーどころだけでもこれだけのサービスを使っています。これら全部に、それぞれ別の文字列を使うのは現実的ではありません。
どこかにメモしておけば覚える必要もないですが、それだとそのメモを落としたら一巻の終わりです。
どうしたら覚えやすく、かつ各サービスごとに異なるパスワードを設定できるでしょうか。
セキュアかつ忘れないパスワードの作り方
では実際に、私がどのようにパスワードを作っているか、その手順を書いていきます。
もちろん、この記事で紹介するパスワードは全てダミーなので、私のメールアドレスを知っている人がこの記事に書いてあるパスワードでログインを試みても無駄ですよ。
1.絶対に忘れない基本フレーズを決める
10文字以内の単語で、絶対に忘れないであろう単語を基本フレーズとして設定します。
ここでは例として、”macbook”という単語を使いましょう。
すべてのパスワードの基本になる文字列ですので、スペルを知っていて間違えることのない単語を選んでください。
2.基本フレーズを大文字とLEETで複雑化する
LEETとは、”神”を”ネ申”と書いたり、あとは一時期流行ったギャル文字のようなものです。これらの英語版だと思ってくれればOKです。
ある文字を、形が似ていたり、音が似ている文字に置き換えて表記する方法ですね。
まずは基本フレーズを適当に二文字くらい大文字化します。
macbook → maCbooK
次に、LEETでランダムに文字を置き換えます。記号や数字で置き換えられる文字が多い単語を基本フレーズにしたほうがいいかもしれません。
maCbooK → m4Cb0oK
これだけでも十分強固なパスワードになり得ますが、さらにサービスごとに文字列を変える工夫をします。
3.サービス名の間に基本フレーズを挿入する
ちょっとわかりづらいですね。どういうことかといいますと…
たとえばAppleIDのパスワードなら、”Apple”頭と終わりの2文字くらい、”ap”と”le”の間に、基本フレーズを入れるわけです。
m4Cb0oK → apm4Cb0oKle
だいぶ意味不明な文字列になってきました。
4.さらに大文字+LEET化して完成!
頭と終わりの2文字づつは平文のままなので、ここも大文字とLEETを使うと更に意味不明になります。
apm4Cb0oKle → aPm4Cb0oKl3
Facebookならこんな感じ↓
Fam4Cb0oK0k
どうでしょうか。大文字や数字、記号を行ったり来たりするので打ち込むのは若干面倒になりますが、かなりセキュアで便利なパスワードが完成しました。
セキュリティ意識の低さは周囲にも影響をおよぼす
たとえば、GoogleやAppleIDのパスワードを抜かれて(突破されて)しまうと、自分のアカウントが乗っ取られるだけでは済みません。
登録してある連絡先や、これまでメールなどをやりとりした相手のメールアドレスを収集されて、その人たちに自分のアドレスから詐欺メールやスパムが送信され、さらには新たな乗っ取りのターゲットにしてしまう可能性もあります。
我々は残念ながら、「自分のアカウントには大した価値はないしー」といって、セキュリティを固めることを疎かにしてはいけない世界に住んでいます。
この記事で書いた強固なパスワードの作り方は、そんなに難しいものではないので、ぜひ活用して自分のアカウントのセキュリティを向上させてください。
じゃあ、また。