短くて覚えにくいパスワードよりも、長い単語の羅列のほうが強力?
これは面白い視点。パスワードなるものが生まれて以来、「覚えやすい単語はいけない」「文字をいくつか記号に置き換えよう」と学んできたと思いますが、もっと簡単な方法がいいのでは? と xkcd の漫画が提案しています。
-
たとえば Tronbone といった普通の言葉をもってきて、いくつかの文字を大文字に、いくつかを記号に、ある場所の順序を入れ替えたとして、パスワードの強さの指標になるエントロピーは 28 ビット = 1秒1000回として3日で破れる強さ
-
これに対して、辞書にのっているけれども4つの任意の単語をもってくるとエントロピーは単語が長ければ長いほど強くなり、覚えておくのも簡単
一つ目の例のエントロピーが低すぎない? とか英単語xkcd の漫画の主張が正しいかについては、こちらで議論が続いている模様です。なかでも納得できたのは「パスワードを破る連中は “password” とか “qwerty” といった破りやすいものを先に狙うので、そういったパスワードを使う人が大勢いるうちは、xkcdの方法でもまあいいんじゃない?」という意見です。一方、英単語をつかわずに日本語を “nihongo” とおきかえてランダムな日本語の単語をつなぎ合わせたら、さらに強いかもしれませんね。
私は 1Password をつかってすべてのサイトでランダム文字列の、長めのパスワードを作っていますが、どうしても暗記する必要があるものに関してはこの方法も悪くないのかもしれません。
パスワードの長さもさることながら、すべてサイトでパスワードを同じものにしたり、どこかにテキストで貼り付けておくといったうっかりも十分に注意したいところですね。
ご参考までに!
