このページの本文へ

前へ 1 2 次へ

まかふぃーぶはじめました 第24回

数字・大文字・小文字を並存、文章にわざとスペルミス混入

「黒子は俺の嫁」から超堅牢パスワードを作ってみた

2013年06月09日 09時00分更新

文● まかふぃーぶ

  • この記事をはてなブックマークに追加
  • 本文印刷

実際に超堅牢パスワードを作ってみますの

 堅牢なパスワードの生成方法はいくつかあるが、ここではマカフィー流とマイクロソフト流を試してみよう。

 マカフィーの場合は、登録サービスを起点としてパスワードを生み出す方法を紹介している(関連記事)。

  • 自分に関係する言葉
  • アクセス先のウェブサイト

 まずは上記2つを起点とする。今回は、

  • 自分に関係する言葉→ kuroko
  • アクセス先のウェブサイト→ ascii.jp

 として考えてみた。結果、生成されたパスワードが下記だ。

  • 生成したパスワード→ 123ku6K0AsC1ijp

 具体的な手順は以下の通りだ。まず、“自分に関係する言葉”の冒頭に「123」を追加。この部分はパスワードを思い出すきっかけにするのもいい。

 次に、数字・大文字・小文字を並存させるべく、「kuroko」を「ku6K0」に変更。同じくascii.jpも「AsC1ijp」に。この時点で、数字と大文字・小文字が入り交じった16文字のパスワードができた。

 さらに記号類も使えるサービスならば、「1」を「|」、「i」を「:」に変更すれば、より難解なパスワードができあがる。

  • 生成したパスワードに記号を加える→ 123ku6K0AsC|:jp

 サービスによって利用できる記号が決まっているため、そのときに応じて切り替える必要はあるが、カンタンなステップで複雑なパスワードをあっさりと用意できる。もちろん、長いため覚えるのが大変なのだが、上記のようにキーになる部分を用意して記憶しておくのが望ましい。

 次にマイクロソフト流を見てみよう。マカフィー流とやり方は似ているが、基本が文章である点に注目だ。

  • 1~2つの文章を考える
  • 文を英語もしくはローマ字表記に変換
  • 単語を短縮するか、わざとスペルミスを生じさせる
  • 数字を追加してパスワードを長くする

 というやり方になっている。文章を記憶しておくことで、そこから紐付いてパスワードを思い出すといったやり方がいいだろうか。

  • 1~2つの文章を考える→ 黒子は俺の嫁
  • 文を英語もしくはローマ字表記に変換→ Kurokohaorenoyome
  • 単語を短縮するか、わざとスペルミスを生じさせる→ Krkhaornym
  • 数字を追加してパスワードを長くする→ Krkhaornym2007-2013

 上記のようにパスワードを生成してみた。冒頭部のみ大文字の状態だが、マイクロソフトのチェッカー結果は「強」だったので、効果的だとわかるうえに、意外と覚えやすいのが特徴といえるだろう。

 さらに堅牢なパスワードにしたいのであれば、マカフィー流とマイクロソフト流をミックスしてもいい。ただ、試しにやってみたところ、だいぶ覚えにくかったので、重要なパスワード用に限るといいだろう。

  • 2つの流儀を混ぜて生成したパスワード→ K6kHa0rnym2o07-2OI3+S

 2つの要素を混ぜて生成してみたところ、マイクロソフトのチェッカーでの評価がようやく「とても強い」になった。

 パスワードの文字数は10文字以上になると飛躍的に堅牢性が高くなるとされているため、最後のように複雑なパスワードばかりでなくてもいいが、自分にとってもっとも重要なパスワードを設定する場合は、意識してみるといいだろう。

パスワードクラックの現状

■パスワードは、攻撃を遅延させるための時間稼ぎにすぎない
■解読することは必ず可能(時間をかければ)

・パスワード解読にかかる最大時間(ワークファクタ)
(パスワードのパターン数=文字種類^文字数)÷解読マシンによる処理数

 例)パスワードに利用可能な文字種類が「英大文字・英小文字・数字」の場合
  ・文字種類:62種類(英大文字26種類+英大文字36種類+数字10種類)

文字数 パターン数 解読時間
6文字 56,800,235,584通り(約568億通り) 約17秒
8文字 218,340,105,584,896通り(約218兆3401億通り) 約18時間
9文字 13,537,086,546,263,552通り(約1京3537兆0865億通り) 約48日
10文字 839,299,365,868,340,200通り(約83京9299兆3658億通り) 約8年

※解読時間は1秒間に33億パターンを試行できるGPUを利用したマシンで解読を実施した場合の想定時間。参考)「On the GPU, it takes less than a second at a rate of 3.3billion passwords per second.」http://www.zdnet.com/blog/hardware/cheap-qpus-are-rendering-strong-passwords-useless/13125
「サイバーセキュリティの脅威~ブルートフォース攻撃の脅威と対策」マカフィー株式会社サイバー戦略室(2013.04.19)より抜粋

パスワードのメモはOKなんですの?

 パスワードは長くなるほど、忘れやすくなってしまう。ときおりド忘れで6文字の数列すら忘れてしまうのが人間だ。そのため、パスワードのメモは必要不可欠。

 メモ作成のお作法としては、パスワードのみを記載しておかないことに尽きる。第三者が見てもどれが正解かわからないように、関係のない英数記号を入れたメモを用意しよう。

生成した3つのパスワードを無関係な文字列に混ぜてみたもの。今回はすでにパスワードを記載しているため比較的見つけやすいが、ノーヒントで発見するのは至難だろう

■関連サイト

前へ 1 2 次へ

カテゴリートップへ

この連載の記事
マカフィーは大切なものを守ります。