アカウント乗っ取りから守る「覚えやすく強固なパスワード」の作り方

先日、いつものようにTwitterをチェックしていたら、フォロー中の友人からメッセージが届いていました。

「人気のブランドサングラスが、今日限りで2499円！（以下URL）」

いつもは日常的なツイートしかしない友人だったので、「いきなり何を宣伝してるんだ？」と思い、「サングラス買ったの？」と聞いてみると……

「ん？　なんのこと？」

「いや、サングラスのツイートしてたでしょ？」

「いや、そんなツイートした覚えない！」

そう。その友人のアカウントが乗っ取られていたのです！

パスワードが知られてしまうと

友人はいろいろなWEBサービスに登録していたのですが、様々なサービスのIDとパスワードは、ほとんど同じものを使い回していました。そのうちのどこからか流出したIDとパスワードで、同じパスワードを使い回ししていたTwitterが乗っ取られたようです。

すぐに全サービスのパスワードを変更し、Twitterは2段階認証を設定。さらに最近使っていないWEBサービスは全てアカウントを削除したとのこと。幸い、WEBショッピングやクレジットカードなどの情報には、別のパスワードを使っていたため被害は無かったようですが、一歩間違えれば身に覚えのない商品が届いたり、その代金請求をされていてもおかしくありませんでした。

これは危険！よく使われている脆弱なパスワードとは？

世の中のWEBサービスは、基本的に本人確認としてIDとパスワードで管理していますが、逆に言うと本人でない第三者でもID・パスワードを知っていれば、そのサービスを利用できてしまいます。IDはユーザー名として公開されているものも多いので、パスワードを知られてしまうと容易に「なりすまし」が可能となります。

以下のような分かりやすい、脆弱なパスワードは避けるべきでしょう。

「12345」などの連番
「0000」などのゾロ目
「password」などの汎用英語
「19701102」など誕生日や車のナンバー
「qwerty」などキーボードを順番に押しただけのパスワード

また、パスワードをIDと同じにしたり、自分の名前や家族の名前にするのも類推されやすく、非常に危険です。さらに、私の友人のように同じパスワードを使いまわしていると「ひとつ漏れたら全滅」という状態になってしまうため、これも避けるべきです。

どうすればいい？　強固なパスワードの作り方

サービスごとに類推されにくい強固なパスワードを設定しましょう。とはいえランダムなパスワードが破られにくい、とは言うものの、覚えづらいのも困りものです。かと言ってそのパスワードをメモしてPCに貼り付けてたりしていると、容易に盗み見られることもあり、元も子もありません。

米インテル社が推奨する強固なパスワード設定方法は、

8桁以上にする
大文字小文字のアルファベットと数字を組み合わせる
可能ならば記号やスペースも組み合わせる

の３要素となっています。

この要件を全て満たすことができれば、ある程度強いパスワードであると言えるでしょう。

しかし、全サービスで全く違うパスワードを設定するのも一苦労。そこで、サービスの種類を大別し、それぞれ基本となるパスワードを作り、サービスごとに変化させれば良いでしょう。たとえば、ソーシャルサービスのうちFacebookとTwitterとLINEを使っているなら、

Facebook用「Social 1234 Password&FB」
Twitter用「Social 1234 Password&TW」
LINE用「Social 1234 Password&LN」

というように、一部にサービス名を入れるのも手です。これなら基本の「Social 1234 Password&」だけ覚えておけばOKですね。

ただし、類推されにくいとはいえ、パスワード自体が流出してしまうと無力です。そのためにも、パスワードは定期的に変更しておいた方がベターです。

まとめ

インターネット上のサービスが多様化、さらに個人情報保護が叫ばれて久しい昨今ですが、IDやパスワードの管理は「自分でできる個人情報保護」の第一歩です。特にオンライン銀行やクレジットカード会社、WEBショッピングサイトなどのログイン情報管理は厳重にしていきたいものですね。

なお、インテル社では設定したパスワードがどれぐらいの期間で解析されてしまうか判別するサイト「How Strong is Your Password?」を公開しています。今使っているパスワードや、これから設定するパスワードの堅牢さをチェックするのに役立つかもしれませんので、一度確認してみると良いかもしれません。