パスワードは複雑かつ長いほど突破されるリスクは下がりますが、そんなものいくつも覚えるのは普通の人には不可能です。しかし対策はいくつかあります。その中で過去にネットでも紹介されていた方法をアレンジしたものを一つのあイデアとして紹介します。これを元にさらに自分でアレンジして突破リスクの低いパスワードを使ってください。
使い回ししない安全性が高いパスコードを作る
パスワードを安全に生成し、なおかつメモ不要にするやり方の一例をお教えします。ここで書いちゃっていますので読者の方が使うときはさらに一工夫してください。
<基本ルール>
・パスワードを2つ以上の要素から構成する。
・2つの要素は「自分だけが知っているキーワード、それは英大文字・小文字・数字が混じった10文字程度以上のもの(各サイトで共通に使う部分)」「そのサイトをあらわす自分なりの略号」で組み合わせます。
・3つめを入れるとしたら、「キーワード」と「サイト略号」の間にパスワード変更回数や変更した時期を表す2〜3桁の数字を入れるといい。
例えば3月までTBSのTHE TIME,の月曜レギュラー出演していた乃木坂46の「梅澤美波」さん推しだとしましょうか。
Wikipediaで調べると、梅澤美波さんのニックネームは「みなみん」で身長170cm(結構背が高くていらっしゃいます)であることから「Mina170Min」をキーワードにする。これだと英大文字・英小文字・数字混じりで10文字になります。Minamin170というのは安直すぎますから数字をニックネームの中にいれちゃいます。この推しもできれば誰も知らない(他人に言うとかなり恥ずかしいので自分からは決して口にしない物あるいは人のほうが安全度が高い)ものがいいです。
そのパスワードを使うサイトが例えば三菱UFJ銀行であるとすると公式な略号は「MUFG」ですが、そのままだとバレバレなので真ん中の「UF」をとって更に「UFO」(未確認飛行物体)にして、そこから「日清焼きそばU.F.O.」を連想、つまり自分の頭の中では「三菱UFJ」は「日清焼きそば」に置き換えるのです。すなわち2つめのキーワードは「Nisshin」にするといいたいところですが、簡単に辞書マッチングするでしょうから母音を抜いて「Nsshn」にしましょうか。「心の中」ではいつも「三菱日清焼きそば銀行」と呼んでおくわけです。
この2つの要素を組み合わせて「Mina170MinNsshn」とします。これで英大文字・英小文字・数字混じりで15文字。
これでも絶対安全ということはありません。世の中のセキュリティで「絶対に安全」なものは存在しません。
この連想はなかなか強力だとは思いますが、いかんせん作ることができる・覚えることができる数には限度がありますので、銀行など少数のサイトにとどめるべきです。
広く使いたいのであれば、サイト依存の2つ目の部分を作る覚えやすい方法は他にもあります。
例えば「****.co.jp」や「++++.com」の「****」や「++++」の文字列から自分なりのルールを決めておいてどのサイトでもそれを適用すれば良いでしょう。
アイデアの一つとして、(1) 文字列の子音3文字を頭から抜き出す、(2)の時列の母音を頭から3文字抜き出す。3文字に満たなければああるだけぬきだす。(2)と(1)を並べて6文字を作るといいうのはどうでしょうか。
例えば「aichanworld」であれば(1)は「chn」で(2)は「aia」なのでできた文字列は「aiachn」です。このルールだけ覚えておけば文字列を忘れてもURLから頭の中で構成できます。それに最初のキーワードを冒頭または末尾につければOK。これならばパスワードメモは不要です。
この方法で生成したパスワードはメモしてはいけません。この方法に基づくパスワードがずらりと並ぶと、規則性が容易くバレてしまいますので絶対ダメです。メモしないために頭の中で再現できるルールにしているわけです。
メモらないで済む、なおかつ使い回しもない、他人から見ればかなりランダムに見えるようなものができます。記号を入れても良いのですが、記号を受け付けないサイトや限られた記号しか受け付けないサイトもありますので、この例では記号は入れません。
<参考記事>
2段階認証と2要素認証の違い
https://aichanworld.com/wd/2022/02/26/post-22665/
安全にメモる
「aiachn」のルールで生成したパスワードは絶対メモしてはいけないのは前述のとおりですが、「三菱日清焼きそば銀行」のほうは規則的な生成ではないので忘れる可能性があります。
そこでメモるわけですが1Passwordのようなパスワードマネジメントソフトでもいいですし手帳でもいいと思います。
どちらの場合でも「三菱UFJのパスワード」とか「パスワード」とかいったバレバレのことを書かないこと、1つめのキーワード(この例ではMina170Min)はPCやスマートフォンのどこにもかかないこと。最悪忘れた時に備えて自宅に置いておく日記帳の最後のページなどにこの言葉だけを書いておく(余計なことはかかない)のもいいでしょう。
2つ目のキーワードは工夫すればするほどわからなくなりますのでそこは1Passwordなども使って良いと思います。
・サイト名は自分なりのニックネームをつけて書く
・銀行取引であれば店番号や口座番号は空白(使うときはキャッシュカードを見る)
・ログインパスワードには日本語で「焼きそばUFO」
大抵のサイトにはパスワードリトライ回数制限がありますし、それは銀行もどうようで一定回数を超えるとオンラインのアカウントはロックされるでしょう。何百万回・何億回も試せばどこかで当たるのは間違いない(これは単純に組み合わせ数の問題)のですが、数回以内でこれを当てるのはまず不可能だと思いますので、事実上安全と言えます。
まとめ
パスワードを複雑にすればするほど安全度は増しますが、一方で本人が忘れて使えなくなる危険性もあがります。物事はすべてバランスですので、複雑さと使いやすさのバランスを皆さんで工夫されるとよいでしょう。
この記事がそのヒントになれば幸いです。