なんとなく綴ってみた

アクセスカウンタ

zoom RSS “強いパスワード”の作り方……英語辞書で紡ぐならカグラームダー

<<   作成日時 : 2018/04/24 14:34   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

まず、タイトルの方法は、ITmediaの記事に書かれている例を元に作ったパスワードの読みであり、実際にそういう言葉(パスワードの作り方の定義を方法として纏めたもの)があるわけではない。


ITmediaの記事であるが、強いパスワードの作り方が載っていた。しかし、この方法、私が2009年ぐらいまで使っていた方法だった。何故ダメなのかというと、これ入力しているところを、その単語を知っている人が見ると、パスワードが推論されてしまう恐れがあるからだ。

また、2つの単語ぐらいの繋ぎだと、最近は結構使う人が増えており、平文攻撃時の強度が徐々に下がっているのだ。だから、長く使うには向かない。まあ、頻繁にパスワードの扱い変えて徐々に伸ばしていくなら別だが……。
http://www.itmedia.co.jp/enterprise/articles/1804/24/news054.html


<パスワードの難読性と覚えやすさの両立>

たとえ、2語文、3語文を使うにしても、パスワードに意味のある英語の綴りを、そのまま使うのは古い手法である。実は、類推がし易くなるからだ。たまたまで透過するリスクが生じやすく、さらに入力工程で隠し文字にならない環境が合った場合、パッと見られただけで、言葉を読まれる恐れがある。


ようは、ひらがなのパスワードを入れる欄があるとしよう「みじうのうのうおに」と意味がない言葉で書かれている場合と、「りんごごりららっぱ」と書かれている場合を考えると分かり易い。

この2つの文字列どちらが読みやすい(すらっと頭に入ってくる)だろうか?大抵の人は後者だと思う。何故なら、りんごまで読むと、次も意味のある言葉だと推測されるからだ。しかし、意味が分からない言葉は、すらっと頭を抜けては来ない。意味がある言葉の方が、類推がし易くなり、一瞬しか見ていなくても、頭の中に浮かんでくることは結構ある。日本人から見ると外来語である英語は、元々読みにくいので分かり難いかも知れないが、実はこれでも既にパスワードとしてはかなり妥協されていることになる。その割に、2語、3語と重ねると扱い難くなることもある。


Calendargamecatchは、Calenderから始まると読み取ると、その先も意味のある単語が連なったものだと分かり、game、catchを難なく判別できてしまう。だから、可能なら避けた方が良い。


では、どうすればもっと良いのかという話だ。実は、Calenderとgameの2つだけで難読性を高める方法がある。
それは、Calenderの中に、gameを含ませる方法である。例えば、Cagleanmdeer(カグラー<ム>ダー)という造語にするなんて方法だ。IntelがPnetiumを発表した時に、Penta(5番目)ium(金属)を足した造語として発表したというのがあるが、この方法はあくまでCalendergameだった訳で、これを今、当該の記事では書いている。

覚えやすいが、攻撃も実はし易い。だから、2語、3語になった。

そこで、Gameを分解して間に足して、読みを自分で考えるのだ。例えばCagleanmdeerにする。すると、考えた人にしか、このパスワードをパッと見て解釈することはできない。元がCalenderとgameなんだなんて分からないだろう。

もっと高等な人だと、Cag0lea8nm0dee1rのような方法も使えるだろう。これは、意味のある月日などを加える方法だ。

覚えやすいだけのパスワードは攻撃者も意識しているし、誰が見ても覚えやすいため、実は解読が容易なパスワードとして次に狙われる可能性が高い物止まりだ。今日は、自分1人しか使っていなくても、来年の今頃調べたら、1000人使っていたなんてこともあり得るのだ。じゃあ、どうするのかといわれて考えるべきは、ベースに異なる単語を混ぜて、自分なりの言葉を作ることだ。そして、そこに数字や記号(が使えるサイトならば)を混ぜれば完璧になる。

特に、カグラームダーのような読める造語を生み出して、その間に数字を足すと、脆弱性などでデータが漏れない限り、破られるリスクは激減するだろう。しかも、読み(と混ぜた複数の単語)をある程度自分なりに覚えておけば、単語も自分のなかで類推しやすい特典が付いてくる。


大事なデータにとって鍵となる場所に、端から見て意味のある言葉を使ってはいけない。そう、合い言葉ではなく、どちらかと言えばこれは自分専用の「呪文」だと思って楽しむことだ。


まあ、平文で2つを繋ぐカレンダーゲームより、二つの言葉を融合するカグラームダーの方が、間違いなくあなただけの強い「呪文」になるだろう。



ESET ファミリー セキュリティ (最新版) | 5台3年版 | カード版 | Win/Mac/Android対応
キヤノンITソリューションズ
2017-04-01

amazon.co.jpで買う
Amazonアソシエイト by ESET ファミリー セキュリティ (最新版) | 5台3年版 | カード版 | Win/Mac/Android対応 の詳しい情報を見る / ウェブリブログ商品ポータル







テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
“強いパスワード”の作り方……英語辞書で紡ぐならカグラームダー なんとなく綴ってみた/BIGLOBEウェブリブログ
文字サイズ:       閉じる