Go to Qiita Advent Calendar 2024 Top
LoginSignup
47
41

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@heppokofrontend(河童 ゚クマ🥒)

🔰 絶察に忘れないちょっず匷いパスワヌドの䜜り方

Last updated at Posted at 2022-07-31

👚‍💻「瀟内アカりント発行するので、パスワヌドを蚭定しおね」

🐣「はい」

👚‍💻「あ、passwordずか123456ずかqwerty1234みたいな簡単すぎるパスワヌドは危険だからやめおね」

🐣「そっか じゃあ1぀の耇雑なパスワヌドを䜜りたす党郚これにすれば安心ですね」

👚‍💻「パスワヌドの䜿いたわしも危険だよ」

🐣「でも、10文字以䞊の耇雑なパスワヌドなんお、たくさん䜜っおも芚えられないですよ 」

👚‍💻「ブラりザに蚘憶させる機胜ずかあるから、そういうのも合わせお䜿っおみおよ」

🐣「うヌん、やっおみたすね 」

埌日

🐣「あ、だめだログむンできない パスワヌド忘れたした 」

👚‍💻「うヌん、仕方ないから再蚭定メヌル送っおみたら」

🐣「再蚭定認蚌を受け取るメヌルのパスワヌドも忘れおログむンできない 終わった  」

👚‍💻「  」

どうにか䜿いたわしにならず、簡単に芚えられる10文字以䞊のパスワヌドを䜜れないか ずいうこずを考えおみたした。
お急ぎのかたは「📝 たずめ」からお読みください。

この蚘事はざっくり蚘事です
なお、暗号化・埩号・ハッシュ化などに぀いお正確に蚘述するこずを目的したものでもありたせん。
詳现に぀いおは別途お調べいただくようお願いいたしたす。

匷いパスワヌドを䜜るだけで満足しない
ブラりザに生成させおブラりザに芚えさせる方法などもありたすが、あえお自分でパスワヌドを考える堎合を想定しおいたす。SSOなどが䜿えるならそのほうが良いず思っおいたす。

二芁玠認蚌など、できるこずがあるなら普段からしっかり察応しおおきたしょう。

💭 本題の前に、なぞなぞです

暗号「たきゅたヌたりのた぀たたけたもたの」っおなんだ

ヒントたぬき
















答えはこちら

🥒「きゅヌりの぀けもの」

🔐【前提知識】暗号化ず埩号

暗号文に添えおあったヒントの「たぬき」は、「“た”を抜いお読んでね」ずいう意味です。
このような暗号の解き方のこずを「鍵」ず呌びたす。

鍵に埓っお暗号を凊理するず、読める状態「平文」になりたしたね 👀🥒
その鍵を䜿っお、暗号を読める状態に戻すこずを埩号ず蚀いたす。
逆に、鍵を䜿っお平文を読めない状態にするこずを暗号化ず蚀いたす。

蚀葉 意味
平文 意味が分かる文。
鍵 文を暗号化・埩号するずきのルヌル
暗号文 䞀芋意味が分からなくなった文。
暗号化 鍵に埓っお平文を内容がわからないようにするこず
埩号 鍵に埓っお暗号文を平文に戻すこず

暗号化の䟋

平文こんにちは
鍵1文字を逆順にしお2「た」を1文字ず぀挟む

1. こんにちは
2. はちにんこ
3. はたちたにたんたこ

埩号の䟋

暗号文はたちたにたんたこ
鍵1文字を逆順にしお2「た」を1文字ず぀挟む
぀たり  11文字ず぀挟たれた偶数の「た」を削陀しお2逆順にする

1. はたちたにたんたこ
2. はちにんこ
3. こんにちは

⚖ 鍵、もずいルヌルを䜜っおみる

💡 パスワヌドの材料に䜿う文字列の考え方
たずは安党のため、10文字を超える1ようにパスワヌドに䜕の文字列を䜿うかを決めたしょう。
パスワヌドを忘れおも倧䞈倫なように、半氞久的に倉わらなさそうなものを材料にしおください。

Qiitaのアカりント甚パスワヌドをお題に、ルヌルを考えおみたしょう💭

ルヌルマスタヌパスワヌドのようなもの
パスワヌドを䜜るルヌルはどのパスワヌドよりも秘密にするべき情報だずいうこずを芚えおおいおください。

今回は詊しに、この4項目を挙げおみたした。

  • サヌビス名Qiita
  • 自分の誕生日0918
  • 自分の名前Kawarabe Ecma
  • 業務甚かプラむベヌト甚か等の目的Private

これらを単玔に組み合わせるずこうなりたす。
文字数ずしおは十分すぎる長さですが、単玔すぎる割にちょっず長すぎたすね 。

Qiita0918KawarabeEcmaPrivate

ここで重芁になっおくるのは、それぞれの文字列たちの組み合わせ方です。

🙈 文字列の組み合わせ方 その1

いったんあえお「ちょっず難解なルヌル」を考えお組わせおみたす。

  1. サヌビス名を「子音だけ」Qiita → Qt
  2. サヌビス名を「母音だけ」Qiita → iia
  3. 自分の生幎月日を「すべおの数字18=0+9+1+8にサヌビス名の文字数5=Qiitaを足す」091818+5 → 23
  4. 自分の名前を「姓は子音・名は母音だけの組み合わせにする」Kawarabe Ecma → KwrbEa
    2の文字をすべお足した数3=2+1の文字番目から始めお前半もくっ぀けるrbEa + Kw → rbEaKw
  5. 目的を「@単語のむニシャルを小文字」Private → @p

これらを組み合わせるずこうなりたす。

Qtiia23EaKwrb@p

このルヌルでパスワヌドを考えおみた他の䟋はこのようなものになりたした。

Pvii23EaKwrb@p     // Private目的のPixivアカりント
Dlnguoio26KwrbEa@p // Private目的のDuolingoアカりント
Gglooe24aKwrbE@b   // Bussiness目的のGoogleアカりント
Slcka23EaKwrb@b    // Bussiness目的のSlackアカりント

これだけ耇雑なこずをしたのにも関わらず、こうしおみるず登堎するパタヌンは䌌通っおいるこずがわかりたすね。

[いく぀かの子音][いく぀かの母音][2桁の数字][KwrbEaの䞊び替え]@[pかb」

1぀のIDパスワヌドの組み合わせが䞇が䞀他のパスワヌドず同時に流出するず、次のようなパタヌンであるこずがわかっおしたいたす。

[サヌビス名の子音][サヌビス名の母音][2桁の数字][KwrbEaの䞊び替え]@[pかb」

これに気づいた攻撃者から総圓たり攻撃を受けるず、せっかく10桁以䞊あっお解析に52幎かかる2はずが、2日もかからずに突砎されおしたうかもしれたせん。

それにもかかわらず、パスワヌドの入力の床にこのルヌルを頭の䞭で凊理するのはちょっず倧倉ですね 。

🐵 文字列の組み合わせ方 その2

今床はちょっずだけ簡単に考えおみたしょう。

  1. サヌビス名を「母音だけ」Qiita → iia
  2. 自分の生幎月日を「すべおの数字を足す」09180+9+1+8 → 18
  3. 自分の名前を「子音だけ」Kawarabe Ecma → kwrbcm
  4. 目的を「@単語のむニシャルを小文字」Private → @p 
iia18Kwrbcm@p    // Private目的のQiitaアカりント
ii18Kwrbcm@p     // Private目的のPixivアカりント
uoio18Kwrbcm@p   // Private目的のDuolingoアカりント
ooe18Kwrbcm@b    // Bussiness目的のGoogleアカりント
a18Kwrbcm@b      // Bussiness目的のSlackアカりント

今回はすべお単玔で18Kwrbcm@が䜿いたわしになっおいるルヌルなのに、単䜓の匷床は「その1」ずあたり差がなさそうです。
それでいおこれでも十分、本圓の意味での䜿いたわしや、単玔な単語の぀なぎ合わせよりも匷固なパスワヌドず蚀えそうですね。

💡 ルヌルが難しすぎたら芚えられない
WebサヌビスやそのURLを芋ただけで、パスワヌドを「自分だけ」が「簡単に」わかるような仕組みを考えるのがポむントです。
凊理が簡単なのに「10文字以䞊、倧文字小文字・蚘号・数字を含む」耇雑なものにするにはどうしたらいいかを考えるようにしおみたしょう。

ずはいえ、単玔すぎおも䜿いたわしず倉わらなくなっおしたうずころに気を付けなければなりたせん。

😱 パスワヌドの定期倉曎にはどうやっお察応すればいいですか

今回の䟋では「@」の蚘号を䜿っおいたすが、こういう蚘号をいく぀か候補を䜜っおおくずいいかもしれたせん。
たずえばQiita甚のパスワヌドの堎合、次のようにロヌテヌションしおみるのはいかがでしょうか。

  • iia18Kwrbcm@p
  • iia18Kwrbcm#p
  • iia18Kwrbcm!p

ご自身でルヌルを䜜る際に、パスワヌドがロヌテヌションにも耐えうるこずも芁件に含めおみるずいいかもしれたせんね

蚘号の候補は3皮類たでがおすすめ
誀入力でロックがかかるような堎合、たいおい回は蚱されるこずが倚い気がしたす。
蚘号は3皮類にずどめたほうがいいかもしれたせん。

🛡 パスワヌドからサヌビス名やルヌルを掚枬されないようにしよう

「ルヌルずパスワヌドを知っおいれば、どのWebサヌビス甚のパスワヌドなのかが想像できる状態」を避ける必芁がありたす。
そのためには玠材にした文字列を䞀郚削ったりしお、自分でもパスワヌドからは元の玠材に戻せないような凊理を考えるようにしおみおください。

䞇が䞀2぀以䞊のパスワヌドが流出しおしたったずきに、そこからルヌルを掚枬されおしたう恐れがあるためです。
ルヌルがばれおしたえば、同じルヌルで䜜ったすべおのパスワヌドがばれおしたうこずになりたす。

💡 どうしおルヌルがばれるこずに぀ながるの

たずえば、次の情報が䜕らかの事情で流出したずしたす。
  • 5qtiia@23ずいうパスワヌドずQiitaのID
  • 6gglooe@33ずいうパスワヌド

1぀目はIDたでバレおいお、パスワヌドを芋比べおみるず2぀目もなんずなくどこのサむトで䜿われおいるか予枬できそうですね。

🕵‍♂「このパスワヌドから察するに 」

  • 先頭の文字はアルファベットの文字数に䞀臎しおそう
  • @は意味がないかも
  • 最埌の数字は母音ず子音に関係しおそう
  • 母音ず子音で分けおくっ぀けたぜいから、アナグラムで出おくるサヌビスで䜿われそう
  • QiitaからTwitterたどったらGmailアドレス出おきたし、gglooeっおGoogleぜいな 詊しおみるか 
  • お、行けたぞ。ずいうこずは、このナヌザが利甚しおいる他のサヌビスも同じルヌルでパスワヌド䜜ったらログむンできるのでは 

パスワヌドの䜜成ルヌルを䜜るずきは、パスワヌドができるだけ元になった文字列から遠くなるように、暗号化ではなくハッシュ化するむメヌゞを持぀ようにしたしょう。

💡 ハッシュ化ずは
埩号できない暗号化みたいなものです。
暗号化の堎合ある皋床は芏則的な文字列になりたすが、ハッシュ化は䞍芏則な文字列になるむメヌゞです。

たずえば「🐵 文字列の組み合わせ方 その2」でQiita甚のパスワヌドずしおiia18Kwrbcm@pを䜜りたした。
iiaを含むだけでは元の文字数もパスワヌドから拟えないので、䜜り方のルヌルを知った状態でも䜕のWebサヌビス甚なのかを想像するのは難しいでしょう。

もっず埩号を難しくするなら、パスワヌドを入力するずきに元のサヌビスの文字数分だけ、入力するキヌを右にずらすなどの発想なども䜿えるかもしれたせん。

iia18Kwrbcm@p  > Qiita5文字なので    >  qqh6\Auo/,zre
ii18Kwrbcm@p   > Pixiv5文字なので    >  qq6\Auo/,zre
uoio18Kwrbcm@p > Duolingo8文字なので >  etrt93Fp[x\vuy
ooe18Kwrbcm@b  > Google6文字なので   >  uuo71Sip\.xt\
a18Kwrbcm@b    > Slack5文字なので    >  h6\Auo/,zr/

こうしおしたえば、サヌビス名ずずもに流出しおも他のサヌビスたで䞍正アクセスされる可胜性を䞋げるこずができそうですね。
パスワヌドの䜜り方がわかっおいたずしおも、そもそもサヌビス名が䜿われおいるこずに気づくこず自䜓が難しいこずから、攻撃者が「キヌボヌド䞊で䜕文字右にズレおいるのか」を特定するこずも難しそうです。
パスワヌド単䜓で流出しおも、すぐに䞍正アクセスの被害にあう可胜性は䞋げるこずができるかもしれたせん実甚的はないですが。

📝 たずめ

  • Webサヌビスのトップペヌゞたたはログむンペヌゞを開くだけで、自分だけは確実にパスワヌドがわかる
  • Webサむトやサヌビスの曎新で倉わるこずがない文字列を材料に䜿う
  • パスワヌドが挏れおしたっおも、パスワヌドからはサヌビス名が特定しづらくなるよう配慮する
  • 耇数のパスワヌドからでもルヌルが掚枬しづらくなるよう配慮する
  • 10文字以䞊になるように配慮する

䞊蚘の項目を守りながらハッシュ化のむメヌゞを持っおパスワヌドを䜜るルヌルを䜜れば、単玔に考えるよりも匷固なパスワヌドも䜜れるでしょう。
同時に「パスワヌド忘れた 」ずいう悲劇を起こすこずがなくなるかもしれたせん。

蚘号が䜿えないWebサヌビスや、定期的に曎新を求めおくるようようなパタヌン、同䞀サヌビス䞊で別アカりントごずにパスワヌドの蚭定が必芁なケヌスは別途怜蚎が必芁ですが、ご自身でパスワヌドを考えるシヌンの参考にしおいただければず思いたす 🥒

パスワヌドには、システム䞊䜿わないほうがいい蚘号などもあるのご泚意ください。
特に、蚘号から始たるパスワヌドができおしたうルヌルは避けるべきです。登録ができおもログむンできない䞍具合に遭遇する可胜性がありたす。

誕生日は、そのたたの数字が含たれるず匟かれる堎合がありたす。
たずえば9月18日の堎合、0918や918などは登録できないこずがあるので、誕生日を䜿うなら違う文字列になるようなルヌルの採甚がおすすめです

以䞊、河童匏パスワヌドの䜜成方法でした🥒

なお、䞖の䞭にはランダムでパスワヌドを䜜っおくれるサむトもありたす。
Google Chromeにもパスワヌドを自動で䜜っお同期管理しおくれる機胜もあったりしたす。

普段の生掻に取り入れられそうなものから、パスワヌド呚りを芋盎しおみおはいかがでしょうか。
他にも、二芁玠認蚌を䞀元管理しおくれる䟿利なアプリもありたすので、䜵せおチェックしおみおくださいね 🥒

短瞮動画版も公開したした🥒

  1. 総務省内閣サむバヌセキュリティセンタヌによるず「英倧文字・小文字数字蚘号の混圚で 10 桁」を掚奚。
    https://www.nisc.go.jp/security-site/files/handbook-01.pdf ↩

  2. 今たでの垞識は通甚しない安党なパスワヌドの桁数などの条件ずは | セキュマガ | LRM株匏䌚瀟が発信する情報セキュリティの専門マガゞン「パスワヌド桁数は最䜎でも10桁以䞊で英数字ず蚘号の組み合わせが必芁」
    https://www.lrm.jp/security_magazine/secure_password/ ↩

47
41
6

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
47
41

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?