自分のアカウントを管理するのにパスワードはよく使われますが、
皆さんはパスワード管理をどのようにされていますか?🤓
例えば、こちらはWordPressの管理画面へのログイン画面で、
ユーザ名とパスワードを入力することで管理画面に入ります。
今回はパスワードを設定する際のあれこれ、紹介していきます。
1. パスワード設定の注意点
まず、パスワードの設定に際して気をつけていただきたいことが2つあります。
1-1. パスワードは適度に長く、且つアルファベットと数字を混ぜる
パスワードは少なくとも8文字以上が目安です。
さらに、大文字や数字を組み合せることで、
文字列のパターンが指数関数的に増えます。
小文字8文字… 26^8≒2.1×10^11通り
アルファベット8文字…52^8≒5.3×10^13通り(小文字8文字の256倍)
英数字8文字…62^8≒2.2×10^14通り(小文字8文字の約1050倍)
パスワードを長くすることで、文字列のパターンの数に比例し、
総当たり攻撃で突破するための試行時間が長くなります。
この記事によりますと、
総当たり攻撃で、6文字、あるいは8文字でも数字だけなら一瞬、
小文字のアルファベット8文字でも数秒で破られてしまうそうです。
英数字8文字なら若干の耐性がつきますが、最低限の強度と考えた方が良いでしょう。
1-2. 単語をそのまま使わない
例えば、「password」という単語や「abcdefgh」「12345678」という文字列は
露骨すぎて、辞書攻撃で狙われてしまいます。
また、「WpPassword」のように意味のある単語を組み合わせるだけのものも、
有効な対策とは言えません。
2. パスワード設定の具体的な方法
ここで、実際にパスワードを設定する際のコツを2つ紹介します。
どちらか1つでも実践すれば、パスワードの強度は上がります。
2-1. ランダムな文字列を生成する
ランダムな文字列は辞書攻撃に強く、文字列が長いほど総当たり攻撃に強くなりますが、
人力で覚えるのは困難ですので、生成したパスワードをメモ帳(紙媒体)に書き残すなど、
必ず記憶対策をとりましょう。
ここで、ランダムにパスワードを生成するツール「LUFTTOOLS」を紹介します。
LUFTTOOLSでは、英数字に加え、記号を含めたパスワードを生成するように設定が可能です。
今回は、「12文字で、英数字と記号を使った文字列を10個生成する」ように設定します。
「生成」ボタンをクリックすると生成したパスワードが表示されます。
今回は「~|&/*+()/$.,#!%_」の16種類の記号が出現しました。
「パスワードデータをダウンロード」ボタンをクリックすれば
パスワード一覧をダウンロードできます。
余ったパスワードは後に必要になったときのために残しておくこともできます。
2-2. Leet表記を使う
たとえば、「Warez」という語を leet で表記すると、「W@rez」や「W4r3z」などとなるように、一部のアルファベットを形の似た数字や記号などに変化させる。
表記法は、「for」や「to」をそれぞれ似た発音の「4」や「2」で代用したり、同様に「you」を「u」と置き換えたり、複数形の「s」を「z」に変えたり、「cks」または「ks」で終わる単語を「x」に差し替えたり、故意に綴りを誤って表記したり、大文字と小文字を混在させたりするなど、多様である。Wikipedia Leet
アルファベットの一部を別の文字に置き換えるだけでも、辞書攻撃への耐性が上がります。
例「passphrase」→「pa5$phr@s3」
(念のため言っておきますが、この文字列をそのまま使わないでください)
また、「s」→「5」「$」のように、1種類の文字からの変換パターンを複数覚えておけば、
元の文字列が単語の組み合わせであってもより複雑なものとなります。
以上、パスワードについて色々と書き綴らせていただきました。
皆さんもこれを機会に、自分が使っているパスワードについて見直してみませんか?🔍