情報セキュリティがうるさい(悪いことではない)会社だと、パスワードを適切に管理しなさい、という話が出ることがある。だが、
・どのようなパスワードが良いのか
・どうやってパスワードを作れば良いのか
まで言及している組織は少ない。そこで簡単ながら、一般論として「忘れにくいけれどオリジナリティのある強いパスワードの作り方」を記述しておこうと思う。これは一例なのでいろいろ応用して頂ければと思う。
まず一番大切な「強い」パスワードとはどういうものか。指標はいろいろあるが
・最低8文字、12文字は超えていると良い
・アルファベットの大文字、小文字、数字、記号が全て含まれている
・辞書に出てくる単語は使わない
というルールを守れば、一般的な企業では大丈夫だろう。パスワードの長さはシステムによっては最大長の限界もあるので、それに合わせる。
またシステムによっては一文字目はアルファベットであった方が良い場合もある。これも管理者に確認しておくと良い。
さて、強いパスワードだが、自分が思いつく文章を編集して作るのが一番簡単だ。好きな文章でも良いし、思いつきでも良い。ここでの例としては俺様(大児)はイカしてるということで
The Daiji is awesome
という文章を編集してみることにする。
まず文字数を減らすかどうかだが、気にならず、またシステムのパスワード長にも問題ない場合はもちろん減らさなくてよい。減らしたい場合は、The、Daiji、isを頭文字だけにしてしまう。すると
TDiawesome
のようになる。さて、これではまた数字と記号が使われておらず、辞書に出てくる単語が入ってしまっているのでまずい。
次にアルファベットと記号を置換してしまう。置換のルールは好きなように考えれば良いが、簡単なのは「見た目」や「語呂」で変換してしまう手だ。
見た目の場合、aを@に、iやI(大文字のアイ)、l(小文字のエル)を1や!に置き換える。また、wはvvとヴイ二つに分けてしまってもよいだろう。語呂の場合、「い」と読むものを1に、「み」や「さ」と読むものを3に置き換えるなどだ。oやO(オー)は0(ゼロ)に置き換えることもできる。
さて、これでTDiawesomeは、TD!@vves0meと置き換えることが出来る。このパスワードは、上記の強力なパスワードの要件を満たしていることが分かるだろう。
このパスワードの良いところは、あくまでも「俺様格好良い」という思想さえ持っていれば自分で導けることだ。しかも他人には推測できず、世の中の辞書にもない。
パスワードは付箋に書いてモニターなどに貼付けてはいけない。意味をなさないからだ。しかし忘れたくないからメモはしておきたい、という人も居るだろう。そういう方は次善の策として、財布やキーケースなど普段身につけているものにメモを入れておくのは一つの手だ。ただしその場合、関連するサイトやアカウント名などとは別にしておくこと。関連づけられてしまうと、これまたパスワードの意味をなさない。
こんなところに気をつけてパスワード管理にチャレンジしてみたらいかがだろう。今までよりは少し楽にパスワードを作成し、覚えられるのではないか。
お、このパスワードいいじゃん!
と思えることも、たまにある。