ありがたいことに、この悪循環を断ち切る手段はあります。必要なのは意志だけです。安全なパスワードの作成と管理はかつてないほど容易になりましたが、それを怠るリスクはかつてないほど高まっています。最近、Appleのボリューム全体暗号化技術であるFileVault 2は、弱いパスワードで保護されている場合、わずか数時間で解読可能であることが発覚しました。

以下で作成方法を説明するような強力なパスワードを使用すれば、 FileVault を解読するには34年かかります。そこで、強力で安全なパスワードの作成と管理に関するヒントをいくつかご紹介します。

最小要件

パスワード ジェネレーターやその他のトリックを詳しく検討する前に、すべてのパスワードに必要な基本的な最小要件を簡単に確認しましょう。

• 大文字
• 小文字
• 数字
• シンボル

出現順序は重要ではありませんが、すべてのパスワードには上記の各種類の文字を少なくとも1つ含める必要があります。人間やコンピューターがパスワードを解読しようとする場合、各種類の文字を追加することで、正しい推測の難易度が大幅に高まります。

「干し草の山」

セキュリティ研究者のスティーブ・ギブソンは、パスワードの作成とクラッキングにおける「干し草の山」という概念を広く知らしめました。パスワードの可能な長さを「干し草の山」、パスワードを構成する特定の文字、大文字と小文字、そして順序を「針」と考えると、パスワード作成の目標は、干し草の山を可能な限り大きくし、針を見つけにくくすることです。

例えば、ギブソン氏によるとユーザーが最も多く作成するパスワードは「123456」だが、1秒あたり1000回の推測で解読するには数学的に18.5分かかる。しかし、有能なハッカーなら、この数字の組み合わせを試すのに18.5分も待つことはないだろう。

ハッカーは000001から始めて数え上げていく数学的なアプローチではなく、「123456」や「password」といった一般的なパスワードをリストの一番上に置き、最初にそれらを試すでしょう。そのため、このシナリオにおける干し草の山は比較的大きいかもしれませんが、針は全く隠されておらず、干し草の山のちょうど上に置かれ、誰の目にも明らかになっているのです。

したがって、目標は、長さに関わらず、一般的な単語や数字の組み合わせを避けることです。あるいは、覚えやすくするために一般的な単語を使いたい場合は、次に説明するように、ハッカーの一般的なパスワードリストに含まれる可能性が低いように、それらの単語を修正してください。

パディング

パスワードのパディングとは、覚えやすいパスワードの先頭、末尾、または両側に同じ文字を追加することです。ギブソン氏の例は分かりやすいでしょう。以下の2つのパスワードのうち、どちらの方が解読が難しいでしょうか？

犬……………………

PrXyc.N(n4k77#L!eVdAfp9

完全にランダムなパスワードの強度に関する先入観に反して、数学的な観点から見ると、24文字の最初のパスワードは、23文字しかない2番目のパスワードよりも解読が困難です。最初のパスワードは2番目のパスワードよりも読みやすいものの、大文字、小文字、数字、記号といった「最低要件」をすべて満たしていることに気付くでしょう。

この概念は、一般的な単語の両側に「パディング」を追加することで応用できます。数週間前に「ハッキングを避けるためのヒント」の記事で解説したように、覚えやすいパスワードの前後に、異なる文字を繰り返し追加することを検討してみてください。例えば、「aaaaaTMO!!!!!」のように。「TMO」は覚えやすいので、5つの「a」と「!」で囲みます。

パディングは「干し草の山」のサイズを大きくするだけでなく、「針」を奥深くに隠すのにも役立ちます。非常に一般的なパスワードを除けば、ハッカーやコンピューターは後続の文字が重複しているかどうかを知る術がありません。そのため、あらゆる可能性を検討しなければならず、結果として文字が追加されるごとにパスワード解読にかかる時間が大幅に長くなります。

もちろん、ここに挙げたパスワードはあくまでも例です。もし誰もが辞書に載っている単語の末尾にピリオドを5つ追加しただけのパスワードを使っていたら、ハッカーはすぐにそれを見抜き、戦略を調整してしまうでしょう。ですから、ここで紹介したテクニックを使って、自分だけの特別な意味を持つ独自のパスワードを作成しましょう。

他に類を見ないパスワードを作成する例として、パートナーのファーストネーム（大文字と小文字を混ぜて）、次にあなたにとって特別な日付、そして出会った月の数字と同じ回数だけ繰り返されるランダムな文字を付け加えるという方法があります。もしあなたの妻の名前がホリーで、3月15日に結婚し、6月に出会ったとしたら、パスワードは「H0lly0315$$$$$$」のようになります。

上記のようなパスワードは覚えやすいですが、AnD3d$!l35zqWv%のようなパスワードと同じくらい強力です。

パスワード管理

覚えやすく強力なパスワードの作成方法がわかったところで、すべてのアカウントで同じパスワードを使い回すべきではないことを覚えておきましょう。ハッカーは、例えば銀行やオンラインショッピングサービスをハッキングすることで、パスワードを解読することなくパスワードを入手することができます。すべてのオンラインアカウントで同じパスワードを使用すると、個人情報、金融情報、そしてデータがすべて危険にさらされる可能性があります。

ありがたいことに、複数のパスワードを管理するのは簡単です。OS Xは長年にわたりキーチェーンアプリケーションを提供してきました。OS Xに直接組み込まれたキーチェーンを使えば、単一の「マスター」パスワードを使って、サイトやアプリケーション固有のパスワードを保存・呼び出すことができます。キーチェーンにアクセスするには、 にアクセスしてください/Applications/Utilities/Keychain Access.app。

優れた 1Password (Mac App Store、49.99 米ドル) などのサードパーティ ソフトウェアは、OS X キーチェーンの機能を拡張し、サイトやアプリケーションのパスワード、ソフトウェア ライセンス キー、オンラインおよび物理的なメンバーシップ情報、安全なメモをすべて暗号化されたアーカイブに保存し、すべての Mac、iDevices、さらには Windows ベースのコンピューターに同期してアクセスできるようにします。

覚えやすいパスワードではなく、絶対的に強力なパスワードを作りたい場合、Keychainと1Passwordはどちらも、Keychainでは最大31文字、1Passwordでは最大50文字という非常に長い、完全にランダムなパスワードを生成できます。この方法を選択する場合は、パスワードアーカイブのバックアップを必ず保存するか、パスワードリストを印刷して金庫や貸金庫などの安全な場所に保管してください。パスワードのデジタルデータベースが紛失したり破損したりした場合、長くランダムなパスワードを思い出す方法はありません。

結論

絶対的なセキュリティを保証することはできませんが、時間をかけてパスワード管理ソフトウェアを設定し、オンライン パスワードを安全かつ覚えやすいものに変更することで、このデジタル時代における保護が大幅に強化されます。

結局のところ、鍵となるのは、干し草の山をできるだけ大きくし、人間やコンピューターが何年も、あるいは何世紀も探さなければ見つけられないような場所に針を埋めることです。