覚えやすくて強いパスワード　押さえたい3ポイント

前回は、複雑なパスワードを覚える必要がない「パスワードレス認証」という最新の手法を紹介した。今回は、金融系サービスなどで使うことを想定した強いパスワードの作り方と管理方法を解説しよう。

まずは「強くて覚えやすい」パスワードの作り方から。ポイントは3つ、「12桁（文字）以上」「日本語をローマ字に変換」「推測しづらいフレーズ」だ。

12桁以上を推奨するのは、桁数が多いほど総当たり攻撃に強いから。とはいえ、ランダムな12桁の文字列を覚えるのは難しいので、意味のあるフレーズを使う。1つのフレーズではなく複数（なるべく3つ以上）を組み合わせることで強固になる。

フレーズは日本語で考え、それをローマ字に変換する。外国語の辞書にないフレーズは海外からの辞書攻撃に強いからだ。自分だけが思い出しやすく、他人が推測しづらいものを考案しよう。そのうえで、一部の文字を入れ替えるなどの工夫をすればさらに強度が高まる。

例えば図1では、修学旅行で行った場所を基に14桁のパスワードを作成した。14桁と長いが、自分にとっては思い出の場所なので簡単に記憶できる。しかも、アルファベット大文字・小文字、数字と文字種も豊富。ほかにもいくつかの具体例を示したので、オリジナルのパスワードを作るときの参考にしてほしい。

パスワードの桁数は強度を決める重要な要素だ（図2）。

大手セキュリティーベンダーのカスペルスキーのウェブサイトでは、パスワードの強さを判定できる（図3）。家庭用コンピューターで解読に要する時間を試算するもので、実際に試してみると8桁では12日、12桁では2世紀と大差がついた（図4）。

しかし、いくら長くても誰もが思い付くフレーズでは意味がない。すでに誰かが使っていて、それが漏洩している危険があるからだ（図5）。歴史的事件、ことわざ、ありがちなフレーズなどをそのまま使うことは避けたい。

もっとも、パスワードを覚えるのを諦めるなら作成は容易だ。パスワードを自動生成するウェブサービスを使えばよい。ID管理アプリで有名なLastPass（ラストパス）のサイトでは、条件を設定するだけで強いパスワードを自動生成できる（図6）。

自動生成でも自分のオリジナルでも、銀行系パスワードは万一の失念に備えて手帳に記録しておこう。その際はサービス名とID、パスワードを別々に保管すると安全性が高まる（図7）。

ところで、以前はウェブサービス側にパスワードの定期的な変更を促されることが多かったが、最近はめったにない。というのは、変更を強要すると覚えるのが大変になることから、次第に弱いパスワードを使うようになる傾向があるとわかってきたからだ（図8）。強いパスワードを一度作ってそれを使い続けるのが最近の定石だ。

（ライター　岡野幸治）

［日経PC21 2021年9月号掲載記事を再構成］