完璧なパスワードを選ぶ方法

完璧なパスワードを選ぶには、2つの相反する優先事項の間で葛藤することになります。1つは長くてユニークで安全なパスワードを作ること、 もう1つは覚えやすいパスワードを作ることです。「もう必要以上のパスワードがある！何年もパスワードを作ってきたのに！」と思うかもしれません。 しかし、パスワード漏洩の増加や、ユーザー名に紐付けられたパスワードの漏洩が増えていることから、堅実なパスワード戦略は日々重要性を増しています。

まずは基本から。パスワードの最適な保存方法と、よくある推測されやすいパスワードを避ける方法をご紹介します。次に、パスワード漏洩の危険性が高く、パスワードを変更する時間を確保できる、複雑で覚えやすいパスワードを選ぶための戦略について解説します。

PCWorld のこれまでのパスワードに関する記事には、次のものが含まれています。

• パスワードが盗まれたかどうかを確認する方法
• 最高の無料パスワードマネージャー
• 最高のパスワードマネージャー（無料 と有料）
• パスワードの解読方法を学び、強力なパスワードを作成する方法
• パスワードマネージャーを使いこなす：5つのヒント

パスワードの保存方法

パスワードを保存できるのに、なぜ覚えておく必要があるのでしょうか？主要なウェブブラウザやMicrosoft Edgeでは、すでに無料でパスワードを保存できます。特にブラウザがパスワード入力を検知し、保存を促す場合は、この方法を選ぶのは簡単で、魅力的にさえ思えます。 

グーグル

一方、同僚のブラッド・チャコスは、パスワードマネージャーの方が優れていると主張しています。確かに、パスワードマネージャーはより強力なツールです。パスワードを暗号化された金庫に保存し、優れたパスワードマネージャーはPCとスマートフォンの両方で動作します。だからこそ、LastPassが無料プランを1種類のデバイスのみに制限した際に、私たちは警告を発したのです。 

パスワード マネージャーとブラウザーでは、保存されているパスワードのロックを解除するためのマスター パスワードが 1 つ必要です (Microsoft は Windows パスワードを使用して Edge 内にパスワードを保存し、Google は Gmail に関連付けられたパスワードを使用します)。たとえパスワードが 1 つしかない場合でも、そのパスワードは強力なものでなければなりません。

私のパスワードはどれくらい脆弱でしょうか?

単純なパスワードがいかに早く破られるか、そしてより複雑なパスワードを解読するには何ヶ月、何年もかかるかに驚かれることでしょう。侵害されると、これらのパスワードはハッシュ化された形式で公開されます。アクセスできれば誰でも、コンピュータのパワーを使って毎秒数十億回もの推測を試みることができるため、パスワードを推測することができます。下の表（プロのパスワードクラッキング会社Terahashが作成）が示すように、パスワードを安全にするには少なくとも10文字が必要であり、長ければ長いほど良いというわけではありません。 

テラハッシュ / Twitter

あなたにはいくつかの保護手段があります。攻撃者があなたを狙っているのでない限り、大規模なパスワード侵害が発生しても、あなたは多くの潜在的な標的の1人として匿名性を保つことができます。（ただし、パスワードが以前あなたのユーザー名に関連付けられていた場合は、はるかに脆弱になります。） 

攻撃者はパスワード全体を推測する必要があり、これは決して容易なことではありません。ハッカーは辞書攻撃を用いて、よく使われる単語や過去に破られたパスワードを試すことができます。また、マスク、ルール、そして手順的に生成される「レインボーテーブル」を用いることで、総当たり攻撃によるパスワード解読をさらに容易にすることも可能です。 

しかし、ウェブサイトやサービスは（一般的に）あなたの味方です。銀行のサイトで間違ったパスワードを何度も入力すると、最終的にはロックアウトされ、さらに多くの情報で認証を迫られることになります。2要素認証（2FA）は、たとえ攻撃者があなたのパスワードを知っていたとしても、攻撃を阻止することができます。2FAが利用可能な場合は、必ず使用することを強くお勧めします。 

より安全なパスワードを選ぶための4つのルール

自分を守るために他に何ができるでしょうか？これらのルールを活用して、より安全なパスワードを選びましょう。

ルール1: パスワードはできるだけ長くする

他に何もしない場合は、パスワードをできるだけ長くしてください。前述のように、長さは重要です。 「JackandJillwentupthehill」のようなよく知られたフレーズで構成されたパスワードでも、  「bT6$g2」の方が 長いというだけで、はるか に安全です 。

話を聞いた専門家の中には、パスワードはそこまでで十分だと言う人もいます。しかし、パスワードはある程度複雑にすることをお勧めします。 

パスワードの各文字は、小文字、大文字、数字、または %などの特殊文字のいずれかを使用できます。小文字だけを使用すると、1文字あたり26通りの組み合わせになります。大文字、数字、特殊文字を追加すると、1文字あたり96通りの組み合わせに増えます。パスワードクラッカーは小文字だけで推測するようにプログラムできるため、数字や特殊文字を1つでも含めると、クラッカーを欺くことができます。そのため、銀行では、大文字、小文字、数字、特殊文字を組み合わせたパスワードを選択し、一定の最小文字数を設定するなどのルールを設けています。これにより、パスワードマネージャーではさらに長いパスワードを選択できるようになります。

ルール2: サイトやサービスごとに異なるパスワードを作成する

パスワードの1つが漏洩し、ユーザー名と照合された場合 、ハッカーはその情報を利用して、他のサービスで同じユーザー名とパスワードを試すことができます。そのため、被害を単一のサービスに限定するために、異なるパスワードを使用することが重要です。

パスワード マネージャーは、使用するすべてのサイトとサービスに対して一意のパスワードを自動的に生成し、この問題を解決します。

ルール3: 覚えられないパスワードは役に立たない

パスワードのリセットを依頼することは可能ですが、非常に重要なパスワードの場合は、本人確認のために長いプロセスを経るリスクがあります。覚えやすいパスワード、または見つけやすいパスワードが必要です。（これについては後ほど詳しく説明します。） 

パスワードマネージャーを使う利点は、必要な パスワードが1つだけ長いことです。複数のパスワードを管理する場合は、各サイトのパスワードの長さや条件に合わせてパスワードを調整する必要があります。つまり、覚えておくべきパスワードの数が増えることになります。 

残念ながら、4つ目のルールがあります。

ルール4: パスワードは完璧であるのは、完璧でなくなるまでである

パスワードが漏洩したら、それはもう終わりです。侵害に気づいたら、できるだけ早くパスワードを変更してください。 

たとえ侵入されていなくても、パスワードを数年更新していないと、攻撃者があなたのデジタルライフに侵入する手段を与えてしまう可能性があります。攻撃を許さないでください！常に一歩先を行くために、パスワードを頻繁に更新しましょう。

より安全なパスワードを作成するための6つの戦略

安全なパスワードの要件がわかったところで、パスワードを作成するための戦略をいくつか見ていきましょう。まずは基本的なパスワード戦略から始め、徐々に複雑さを増していく方法を考えてみましょう。

戦略1：パスフレーズ

多くの人にとって、 パスワード戦略の第一歩はパスフレーズです。長くて記憶に残る単語や数字の組み合わせです。好きなことわざや名言、あるいはアイスクリームのフレーバーのベスト5など、自分にとって意味のある単語の組み合わせでもよいかもしれません。 

自由を与えよ、死を与えよ！

パスフレーズには大文字と特殊文字の両方が含まれる傾向があります。数字を含むパスフレーズはさらに複雑になります。

リグレー1060Wアディソンセント

一般的なパスフレーズを単独で使用しない理由の一つは、クラッカーがどんな技を繰り出してくるか全く予測できないからです。例えば、よく使われるフレーズは辞書攻撃に利用される可能性があり、聖書の一節なども利用される可能性があります。 

戦略2：外国語

攻撃者が辞書を使う場合、まず英語のフレーズを試すかもしれません。言語を混ぜたり組み合わせたりしても問題はありませんが、複雑性が高まる可能性があります。例えば、「Qu'est-cequec'estBigMac,otaku?」は、 その可能性を示唆しています。

戦略3：詩か歴史か

覚えやすいパスワードを作るのが目的なら、詩は素晴らしいインスピレーションの源になります。例えば、ルイス・キャロルの詩「ジャバウォックの歌」やドクター・スースの絵本には、意味不明な単語が含まれています。詩の一行か二行をパスワードに使うこともできます。行間にスラッシュを入れることで、特殊文字を使った複雑なパスワードを作ることができます。  『カンタベリー物語』や『ベオウルフ』など、中英語や古英語の複雑なパスワードを作るのも効果的です。

マーク・ハッハマン / IDG

戦略4: Facebookで見つけたものは使わない

私が読んだパスワードクラッキングに関する概念論文の中で、特に興味深いものの一つは、北京大学のディン・ワン氏らによるこの論文です。この論文では、人物に関する基本的な情報（名前、性別、生年月日、電話番号）を知るだけで、アルゴリズムがユーザーのパスワードを推測できる確率が劇的に高まり、実際の侵入事例における成功率は73%に達すると検証されています。（この成功率は、別のサイトで漏洩した別のパスワードと個人情報を使用した場合です。）

答えは？Facebook、Twitter、Instagramでオンラインで発言したことは、自分に不利に使われると想定してください。

では、自分の個人的な情報をパスワードに使えないということでしょうか？もちろん違います。自分が知っているけれど、他の人は知らない情報を使えばいいのです。自分の家族やペットの名前は使えませんが、近所のお子さんやペットの名前なら大丈夫です。 

戦略5：組み合わせる

Ars Technicaによる 2013 年のパスワード クラッキング調査 では、「一般的に、大文字が先頭、小文字が中間、記号と数字が末尾に来る」ことが明らかになりました。これには、より一般的な単語に複数のランダムな文字と数字を付加した「サフィックス」も含まれます。 

だから、いろいろ混ぜて使ってみてください。2bornot2b さん、thatisthequestionには大文字は入っていませんが、シェイクスピアの有名なセリフを少しもじっています。最終的な目標は、長いパスワードこそ最強のパスワードだということを覚えておいてください。 

セキュリティ技術者のブルース・シュナイアー氏も同様の、さらに複雑な手法を用いています。彼はある文を抽象化して解釈するのです。「あなたと私のために作られたバンドのリーダーは誰ですか？」という文は「W'sTLotbW'smade4u&me？」となります。「パスワードを推測されにくいものにしたいなら、このプロセスでは見落とされるようなものを選ぶべきです」とシュナイアー氏は書いています。

ご存知の方もいるかもしれませんが、古い戦略として「l33t-speak」があります。これは文字を数字で置き換えるものです。しかし、パスワードクラッカーは これをプログラムできるため、もはや必ずしも安全な戦略とは言えません。

戦略6：世界はあなたのパスワードです

意味のあるパスワードを選ぶことは、体育の先生が挨拶に使っていたフレーズと同じくらいつまらないものになる場合もあれば、毎日目にする自宅への高速道路の出口を知らせる標識と同じくらい繰り返しになる場合もあります。 

マーク・ハッハマン / IDG

本棚からタイトルを選んでください。奇抜なほどいいですね。  「12ヶ月の修道院スープ」なんて料理本を思いつく人がいるでしょうか？

本をパスワードの元にして、パスワードリマインダーを財布やハンドバッグに入れておけるという方法もあります。「69ページ、2行目」と紙切れに書いて財布に挟んでおくとしたら、攻撃者は私の財布を盗み、そのメッセージの意味を理解し、どの文書や本を指しているかを知り、自分のものと全く同じコピーにアクセスでき、そしてどの単語を指しているかを知る必要があります。 

パスワードを書き留めておく必要がありますか?

パスワードを書き留めるのは、誰もが犯しうる最も愚かな行為のように思えるかもしれません。しかし、それが本当に愚かな行為かどうかは状況次第です。 

必ずしも信頼できないルームメイトとシェアアパートで暮らしているとき、パスワードを手書きで書くのは、非常に危険な行為です。同様に、Windowsのパスワードを書いた付箋を、オフィスで使うパソコンに貼り付けておくのも絶対に避けるべきです。 

家族や信頼できる人と暮らす家では、パスワードを書き留めてどこかに保管しておくべきという主張はより説得力を持つようになります。例えば、マスターパスワードを貸金庫に保管しておくと、万が一あなたが亡くなった場合、配偶者があなたのオンラインアカウントにアクセスできてしまう可能性があります。 

パスワードのない未来

パスワードの重要性は薄れつつあります。顔認証、指紋認証、携帯電話、あるいはこれら3つを組み合わせたものが、パソコン、メール、銀行サイトのロックを解除する鍵となる未来は、すでに到来しつつあります。しかし残念ながら、これらの代替手段はまだ普遍的なものになっていません。パスワードを使い続ける限り、パスワードを解読しにくくするためのあらゆる対策が、ハッカーの侵入を防ぐのに役立つでしょう。