前回のパスワードに関する投稿では2011年版パスワードのワースト25について書きました。お使いのパスワードがそこにない方にとっては、この記事は朗報です。しかし、本稿を読んでいるということは、自分のパスワードの強度が不十分ではないかと不安なのかもしれません。一部のウェブサイトでは入力したパスワードの強度を示すインジケータを用意し始めていますが、パスワードを決めるための役にはあまり立ちません。
NASAは2010年、パスワードに関するベストプラクティスのリストを作成しましたが、そこには以下のようなものが含まれています。
- 最低8文字にすること。
- 大文字、小文字、数字、および!@#$%^&*、;”といった特殊文字の4種類を組み合わせること。ただし、特殊文字が1つだけの場合は、それをパスワードの先頭もしくは最後尾にしないこと。
- 名前、俗語、あるいは辞書に出てくる言葉にしないこと。自分の名前や電子メールアドレスの一部にしないこと。
もちろん、このアドバイスに従えば、セキュリティの神様であるBruce Schneir氏が推奨する「文章からパスワードを作成する」技を試す以外に考えられないパスワードを作成することができます。
たとえば、「Now I lay me down to sleep」という文章は、その辞書にも見当たらない「nilmDOWN2s」という10文字のパスワードになります。
Schneir氏によると、このパスワードを覚えられない場合は、そのまま紙に書いて財布に入れておいたり、思い出すためのヒントを財布に入れておいてもかまわないそうです。そのパスワードを使うサイトやサービスのリストを一緒にしておかなければ良いということです。サービスごとに異なるパスワードを使うようにすると良いですが、無理であればサイトごとにパスワードを複数用意する程度はしてほしいそうです。
いつか、自分のデータを守る苦労があまり必要ないバイオメトリクスのような認証スキーマを使うようになる日が来るかもしれません。でも、私たちの大半が利用できるのはパスワードだけですから、目的を果たすためにはそれを強力なものにしなければならないのです。
Bim Parmar
Vice President of Marketing
Bim oversees all aspects of global marketing including corporate communications, product marketing, demand generation, and the company’s presence on the Web. He has over 16 years of experience in Enterprise and Security software working at McAfee Security and Business Objects.