パスワードというのは自分以外の他人が不正にログインして、自分に成り済ます事のないようにする仕掛けであることは言うまでも無い。
世の多くの人は「キャッシュカードやクレジットカードのパスワードならともかく、他人が自分のアカウントで不正ログインしたところで何のメリットも無い…」と考えるかもしれないが、実は有名人や特定個人のメールを覗き見ようと不正ログインするケースは極めて希なのだ。まぁ最近では別れた彼女のメールを覗き見たり、彼女に成り済まして新しいパートナーに誤解を与えるようなメールを送信したりするようなケースも無いとは言わないが…
で、圧倒的大多数は縁も所縁も無い第三者に攻撃したりする為の踏み台として悪用する為に不正ログインするのだ。言ってみれば対象は誰でもいいわけで、無関係なあなたも狙われる可能性が充分にあるのだ。
まず、以下のようなフレーズは間違いなくバレてしまうのでパスワードとして無意味だというのを肝に命じてほしい。
つまり個人情報(家族も含む)から調べがついたり、辞書による検索でマッチングする程度のフレーズではバレバレだという事だ。フレーズの後に数字を付けるっていうのもお決まりのパターンだし、逆読みも逆読み辞書が出回っているので意味なし。
基本的に数字のみというはもってのほかで、英数字を含めたとしても5文字程度であればブルートフォースと呼ばれる総当たりの解析で一日あればバレてしまう。銀行ATMとかなら3回間違えばお終いだが、メールアカウントなどは何度でもできる。しかもプログラムを使えばあとはパソコンが勝手にやってくれるのでクラッカーは楽ちんだし。
だからと言って覚えられないような無意味な文字列をパスワードにするのもまた現実的ではないと言えよう。パスワードを付箋紙に書いてモニターに張りつけたりしてたらそれこそ意味ないし。
そういう面からも一般人のパスワードとしてはそれなりの意味を持たせた長めの文字列が適していると思う。例えば"yamada//taro"等と氏名の間や前後に記号や数字を入れるだけでも単純な辞書検索ではマッチしなくなるので、個人情報や身近な人から類推できない情報を組み合わせてパスワードにする事をオススメしたい。
例えば現在はあまり関係を知られていない知人の情報。とは言ってもありがちな名前は人名辞書などもあるので、そう言う場合はニックネームや電話番号でもいいと思う。ABC12345等と無意味な英数字が並ぶniftyのユーザーIDなんかはまさに持ってこいと言えよう。
というわけで個人的には「類推されにくい旧知の2人のユーザIDを記号で囲って数字で繋ぐ」という形式で10桁以上のパスワードを採用している。確かに慣れるまで入力するのは面倒だが、忘れにくい意味を持たせたパスワードとしてはかなり強固と言えよう。その上、数字を毎月変える事によって更に万全度も高まるのだ。最初は10桁とまではいかなくても良いと思うので、これまでの話を踏まえて2つ以上のキーワードと数字か記号を組み合わせた英数字混じりのパスワードを使うようにオススメする。
英数字と言っても"Windows2000Pentium4AthronXP"等、意味の通じるキーワードだけの組み合わせは例え全体が長くても辞書アタックで簡単にバレるので、必ず記号などを組み合わせる事を忘れないように。
参照
●ITmedia How-To
-第7回:「パスワードクラッキングの現実性」
●@IT:LinuxTips
-パスワードが安全か調べるには(John the Ripper編)
●ISEC
-小規模サイト管理者向け セキュリティ対策マニュアル