2006/12/19 新倉茂彦 CNETブログアーカイブ

安全なパスワードは・・・日本も意外と強い

「ユーザーはより安全性の高いパスワードを使用し始めている」–米調査 CNET Japanより

Counterpane Internet Securityの最高技術責任者(CTO)であるBruce Schneier氏は米国時間12月14日に掲載されたWired Newsの記事の中で、平均的なパスワードの長さは8字で、サンプルの81%は文字と数字の両方が含まれていたと述べている。

しかしながら問題なのは、Schneier氏が調査したサンプルはすべて、フィッシング詐欺サイトが入手していたものだという点だ・・・

Schneier氏によれば、最も多く使われているパスワードの上位5つは、「password1」「abc123」「myspace1」「password」「blink182(バンド名から)」だという。パスワードのうち、辞書に載っている単語そのままのものはわずか3.8%で、単語の後ろに数字をくっつけたものが12%、そのうち3分の2は「1」だったという。

文化習慣によって違いが出てくるものとして、セキュリティ意識がある。

よく言われる狩猟民族と農耕民族の話のように、獲物と戦わなければ食料は得られず、獲物にやられちゃっては自分に危険が及ぶ。

一方の農耕の場合、左右されてしまうのは天候くらいで、それ以外は予定出来る。

この民族のDNAがセキュリティ意識に大きく影響している。

しかし、この記事を見る限りパスワードの意識は高くないようだ。だから僅かな変化がこのように多少でも強いパスワード・・・なんて話しになるのだろう。

最近のWebサービスなどもパスワードを決めるのに、英数混ぜたものでなければ登録出来ない。

だから単純に数字の1などをつけてしまうのだろう。

悪意をもった人の使うツールにパスワードクラッカーというものがある。

これはパスワードの辞書を持って、1個ずつあてはめていくもの。ブルートフォースアタックと呼ばれ、力ずくの総攻撃をするもの。

これに大切なものが、元となる辞書の数々だ。辞書の中には人名や単語などが含まれている。アニメのキャラクターなどの辞書も存在する。

パスワードの文字数であるが、大脳生理学的に7文字が記憶出来る限界らしい。

以前の参考記事:パスワードってメモるの?米国の場合

ここで日本人のパスワードが最強な理由が1つある。

それは・・・

英語が苦手な点が、ここでは有利になっていること。

パスワードはアルファベットを使うので、日本語に直してもローマ字にしなければならない。

キーボードの配列を上手く利用した、ひらがなで打つとこれ以上に最強なものはない。辞書にも載ってないし、まさか?ってところだからだ。

私はローマ字入力でなれちゃったので、ひらがな打ちは出来ないが、ひらがな打ちが出来ると入力は相当早い。ローマ字の入力よりも約半分打つだけで入力できるからだ。

例えば、”にいくら”の場合は、”ieho”がひらがなの”にいくら”と同じキーに割り振られたアルファベットになる。たまに配列の違うものもあるが、ほとんど同じだろう。

上記の”ieho”に数字をつければ、史上最強のパスワードが完成する。

また、英単語をパスワードに使っている場合でも、英語力の低さが有利になっている。

それは・・・

スペルを間違えるからだ。

これ公式文書などではマズイが、パスワードならば自分が間違えいていてもパスワードは自分だけが知っていれば良いものなので、OKになる(笑)誰にも言わないものなので恥ずかしくもない。しかし何かの拍子にミーティングなどで別な話の時にこのパスワードを書いたときに、wordで資料を作っている時に、間違えは判明する。それでも良いのだ。間違えているからこそ、誰にもわからない(笑)

侮ってはイケナイ。これ意外と強いのだ。もちろん辞書にも載ってない。

生体認証の指紋や虹彩、静脈などもあるが、組合せて使う場合にもパスワードは必要になる。

自分に合った変わったやり方が、実は一番最強なのだ。

これを機会に是非パスワードの変更をしてみたらどうですか?

ちなみに、このやり方で被害を被っても私は責任持てません。だって間違えたパスワードは誰にもわかりませんから(笑)

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。
詳細はこちらへ
カテゴリー
CNETブログアーカイブ

4 thoughts on “安全なパスワードは・・・日本も意外と強い

  1. 新倉 茂彦 より:
    2006/12/19 00:00

    毒吐者さん
    コメントありがとうございます。新倉です。
    そうですね、新しいものではありません。
    必ずしも新しいものだけが良いとも思いません。まずは簡単に出来る方法を少しでも多く持つことが有効だと考えてます。
    海外からのアタックもあるでしょうが、もっと身近な危険ってあると思います。
    いずれも100%はありませんから・・・

  2. 毒吐者 より:
    2006/12/19 00:00

    日本語キーボードを使った暗号化技術(?)は。パソコン通信の時代から「みかか変換」(みかか=NTT)などと呼ばれ使い古されたものです。
    海外からの攻撃には有効かもしれませんが、日本人相手ではすぐ破られますよ。

  3. 新倉 茂彦 より:
    2006/12/20 00:00

    かえで(yfi)さん、コメントありがとうございます。新倉です。
    文字を使わない認証として、写真とか、あらかじめ登録してある名前の姓名を組み合わせる方法もありますよね。
    同じくキーボードのキーをブロックのように考え、自分の好きな絵柄をキーで描いた場合の一筆書きをしても出来ます。
    一筆書きでないと文字の順番がおかしくなっちゃうので・・・
    相当不規則な文字の組合せでも、10回くらい使えば覚えると思います。
    Qwerty配列の微妙なずれを上手く使うのも面白いですね。

  4. かえで(yfi) より:
    2006/12/20 00:00

     なるほど……考え方としては興味深いところですね。
     Qwertyで見たときに意味不明に見えることが重要なのであれば、(モードをQwertyにしたままで)欧文入力用の「Dvorak」「Colemak」や、和文入力用の「AZIK」「親指シフト」「新JISかな」で打っているものとみなして入力してしまう……というのも、案外とアリなのかもしれません。
     「みかか変換」は確かに知れ渡っている可能性がありますし、もしつかうのならば、なるべくマイナーな入力規則を使うほうが良いのかも?ですね。
     ……ああ、そうすると「親指シフト」もドラマや小説で出るときがあるからだめなのかもorz

この投稿はコメントできません。