ソニーの個人情報流出が1億件に及ぶ可能性があるとの話が出ています。ネット社会において、個人情報を登録することでサービスを受けることが一般化している中、これだけ大規模な流出はソニー側にも問題はあるかもしれませんが、不正侵入の恐ろしさを痛感する出来事だと思います。
原因は脆弱性への未対応だとことらしいですが、大企業ならともかく一般企業ではなかなか難しいです。私自身も10年程前ですが自分が管理していたシステムに侵入を許したことがある苦い経験を持っているため、管理の難しさを実感しています。とはいえ、関係者の少しずつの努力で被害を最小限に食い止められると思います。そのもっとも代表がパスワード管理です。今日はパスワード管理の中の作成方法に関してお話します。
パスワード作成のポイントは2つです。
(1) 推測されにくいけど覚えやすいパスワードをつくる
まずは他人が推測しにくいパスワードを考えることが重要です。しかし、推測しにくい結果自分が覚えられないというのでは困ります。簡単ではないけど覚えやすいという一見すると相反するバランスをもったパスワード設定がポイントです。一般的には以下の3つが前提となります。
・個人情報(氏名、誕生日、電話番号)や英単語は使わない
IDと一緒なんかはもってのほかですが、名前や誕生日も推測されやすいのでさけたほうがいいです。また、パスワード解析ツールは海外の製品が多いので英単語も危険です。
・複数の文字種類を組み合わせる
英字、数字を組み合わせるのはもちろんのこと、可能な限り記号を入れることをおすすめします。ただし、使える記号が限られているケースもあるので管理者に確認しましょう。大文字小文字が有効な場合はそれも組み合わせましょう。
・できるだけ長くする
8文字を一つの目標にしてください。長すぎると覚えるのが大変なだけでなくシステム上受け付けない場合もあります。かといって4文字以下は少なすぎるのでやめましょう。
「とはいっても覚えやすいようにするとどうしても簡単になってしまうよ」という方にいくつかのアイデアを紹介します。
たとえば、パスワードの元が「ああっ女神さまっ」だとすると
・アルファベットに変えたのち母音を消すか一文字ずつ飛ばす
aamegamisama → amgmsm
・記号を挟む
amgmsm → a#mgmsm#
・大文字小文字をまぜる
a#mgmsm# → a#MgmSm#
・前と後ろを逆にする
a#MgmSm# → #mSmgM#a
という感じです。ほかにも「コロンブス」を「:busu」といった記号の語呂合わせで表現する方法もあります。もとは覚えやすい言葉をいくつかのルールで推察されにくいものにするという方法です。
(2) 定期的に変更する
ずっと同じであれば、複雑なパスワードも破られる可能性が高まります。そこでときどきパスワードを変更することが大切になります。
システム側が対応していれば、定期的に変更する仕組みを導入し変更しなければシステムを使い続けられないようにするのが一番ですが、そうでない場合でも管理者が利用者にメールで期限を促すなど定期的に変更するルールをつくりましょう。
定期的に変更することはシステム的な解読はもちろんのことソーシャルエンジニアリングと呼ばれる対人間用の解読術(覗き見やごみあさりによる情報入手)にも有効だと思います。
もちろん、頻繁に変えるのは使用者の負担になりますので、適度な間隔をあける必要があると思います。短いもので2週間ぐらい、長いもので半年から1年といった感じでしょうか。ユーザーの負担や情報の重要性を考慮して決めるといいでしょう。
「とはいっても定期的に推察されにくくて覚えやすいパスワードなんてなかなかつくれないもんですよ」といわれる方におすすめなのが、パスワード作成ツールと呼ばれるソフトです。機械的にランダムな英数字記号の組合せを作るので覚えるのには多少コツが必要かもしれませんが考える手間が省ける分初心者にはむしろおすすめではないかと思います。(実際にシステム側が自動的にパスワードを変更し、表示する仕組みもあります)
とりあえず、今のパスワード見直してみませんか?