まかふぃーぶはじめました 第24回

数字・大文字・小文字を並存、文章にわざとスペルミス混入

「黒子は俺の嫁」から超堅牢パスワードを作ってみた

「ファンタシスターオンライン2」では、ゲーム内のメッセージウィンドウにもアカウントハッキングへの注意文が流れる

前編はこちら

堅牢なパスワードは紳士のたしなみですの

　というわけで、予想以上に長くなってしまい、急遽生まれた後編ではパスワードの生成方法についてチェックしていく。

前回に引き続き、マカフィー サイバー戦略室のシニア・セキュリティ・アドバイザー佐々木伸彦氏に伺った内容を元に構成した

　ついつい面倒で、テキトーにしてしまいがちだが、自宅のカギや身分証明書と同レベルで扱うべきものなので、誕生日や自分の名前、好きなキャラクターといったワードをベースにパスワードを決定している人は、特に見直しを推奨したい。前編でも触れたが、その手の情報から作られたパスワードはSNSやブログからの情報で推測が容易だ。

　さて、オンラインゲームをターゲットに本記事は進んでいるわけだが、

「仮に、リスト型アカウントハッキングに遭っても課金してないから安心だもーん！」

　と思っている人もいるだろう。半分は正しいが、半分はNGだ。登録メールアドレスを狙われた場合、狙われるのはゲーム内データに留まらない。なりすましで犯罪予告をされた場合、真っ先に疑われるのは自分になってしまう。そのときの被害は説明するまでもない。

まずはデンジャーなパスワードを学びますの

Worst Passwords of 2012。危険なパスワードがずらりだ

　危険なパスワードとは、数字のみの組み合わせや、よくある英単語といったものが挙げられる。

　Scary Loginsのサイトを例に掲載された「Worst Passwords of 2012」を見てみると、ワースト1のパスワードは「password」だ。そのほかも、なんとなく思いつきで入力するタイプの文字列が多い。

　パターンを見てると、数字のみや特定の単語、地名といったものが多い。また、名前＋誕生日もわかりやすいためオススメできない。

　マイクロソフトの「安全性の高いパスワードの作成」を見てみると、危険なパスワードの条件として以下を例に挙げている。

• 7文字以下のパスワード
• 数字や小文字、大文字のみのパスワード
• よくあるスペルミスや省略語（ネットスラングや拡張子も加えていいだろう）
• 111や123といった連続した文字や繰り返した文字
• 個人情報に関係する文字

パスワードの強度をチェックしますの

　さて、8文字以上のパスワードを要求されたとき「11111111」とした場合、突破されるまでの時間はごくわずかだ。なお、巷には入力したパスワードがどれくらいで突破されるのか計測してくれるサイトがあるのだが、その手のサービスを試すのは、セキュリティ意識的によろしくないのでオススメしない。

　保護されたセキュリティチェッカーとしては、マイクロソフトサイト内にパスワード強度を確認できるページが用意されている。とはいえ、オンライン上での作業になるため、不安が残る。利用する場合は自己責任といってもいいだろう。

　変則的なチェック方法としては、ZIPファイルにパスワードをかけてみて、その解析速度でのチェック方法もあるが……次ページからの生成方法通りに考えてみるだけでも、だいぶパスワードの強度は上昇する。

マイクロソフトサイト上にあるパスワードチェッカー。保護されているとはいえ、本命パスワードの入力は回避しよう