パスワードより安全で覚えやすい「パスフレーズ」の作り方：破られにくいパスフレーズ入門【後編】

パスワードは長く複雑にするほど、覚えにくいといった課題がある。パスフレーズを使用することで、こうした従来型パスワードの課題を克服できる可能性がある。どのように作ればいいのか。

[Matthew Smith，TechTarget]

　攻撃者はさまざまな方法でユーザーのパスワードを窃取し、企業ネットワークに侵入しようとする。パスワードを長く、アルファベットの大文字や小文字、記号、数字などを組み合わせた複雑にすることで、セキュリティを強固にできる。しかし、長く複雑なパスワードはユーザーが記憶しにくいため、結果的にユーザーがパスワードを使いまわしたり推測されやすいパターンを採用したりして、安全性を損ねてしまう可能性がある。

　こうした中で注目を集め始めたのが、複数の単語やフレーズ（言い回し）を組み合わせた「パスフレーズ」だ。ただし、やみくもに複数の単語やフレーズを使えばよいわけではない。安全で覚えやすいパスフレーズを作成するためのこつを紹介する。

安全で覚えやすい「パスフレーズ」の作り方とは

併せて読みたいお薦め記事

連載：破られにくいパスフレーズ入門

• 前編：“複雑なパスワード”より「パスフレーズ」を専門家が勧める理由

パスワードの新常識

• パスワードに“複雑さ”は不要だった？　メールセキュリティの基本的な対策5選
• 「パスキー」はこれだけ使える　“パスワードなし”の未来がすぐそこに

　パスフレーズ作成のベストプラクティスは次の通りだ。

よく知られているフレーズを使用しない

　パスフレーズやパスワードの価値は、他人に知られないことにある。有名なフレーズを選べば、推測が容易になり、脆弱（ぜいじゃく）になる。攻撃者は辞書に載っている単語をパスワードの推測に利用する「辞書攻撃」を使用する。楽しみながら独自性の高いパスフレーズを考えよう。

関連性のない単語を使用する

　本や映画、よく使われる言い回しから引用しない。例えば「LemonCactusRocketWhisper」（レモン、サボテン、ロケット、ささやき）のように互いに関連性がない4つ以上の単語を選ぶ。

長くする

　パスワードおよびパスフレーズは長ければ長いほど安全性が増す。最低16文字、理想は20文字以上だ。例えば「DolphinPianoGalaxyBreezeCup」（イルカ、ピアノ、銀河、そよ風、コップ）だ。

複雑にする

　必須ではないが、大文字、数字、特殊文字を追加することでより複雑にできる。解読に必要な時間と計算量が増し、ブルートフォース（総当たり）攻撃に対して耐性が高まる。例えば、「LazyPineapple77!Moon」（怠け者パイナップル77！月）だ。ただし、複雑にする欠点として、より覚えにくくなる可能性がある。

覚えやすくする

　イメージやストーリーを伴ったパスフレーズを作成する。より映像的でユニークなイメージが伴うほど、思い出しやすくなる。例えば「RobotDancesOnJellyMountain」（ロボットがゼリーの山の上でダンスする）だ。

パターンを避ける

　連続した数字や文字、あるいは名前、誕生日、ペットの名前など、自分に関連する一般的な単語を使用しない。

　その他、強力なパスフレーズの特徴は以下の通りだ。

• ランダムな名詞
  • 関連性のない4つの名詞。例えば、「TableFalconMirrorCloud」（テーブル、ハヤブサ、鏡、雲）。
• 叙述的なフレーズ
  • 形容詞と名詞を組み合わせ、映像的なイメージを表現する。例えば、「SilentOceanBrightStarFish」（静かな海、輝くヒトデ）。
• アクションの描写
  • 動詞と名詞を使用して、アクションを描写する。例えば、「JumpingCatPaintsBlue」（ジャンプする猫は青く塗る）。
• 奇想天外なストーリー
  • 覚えやすいミニストーリーを作成する。例えば、「PirateEatsLemonUnderMoon」（海賊は月下でレモンを食べる）。

　その他のサンプルは次の通りだ。

• GreenTigerSingsAtMidnight（深夜、緑の虎が歌う）
• PurplePandaJumpsOverRain（紫のパンダが雨を飛び越える）
• DancingFoxOnCloudNine（とてもうれしくて踊るキツネ）
• WhisperingTreeEchoesSunlight（ささやく木が太陽の光をこだまする）

パスフレーズ管理のヒント

　パスワードと同様、パスフレーズの管理と保護は欠かせない。組織のセキュリティチームは、以下のベストプラクティスを取り入れるべきだ。

• パスワードマネジャー （パスワード管理ツール）を使用する
  • 複数のパスフレーズを安全に保存し整理できる。
• 使い回しを避ける
  • 異なるアカウント間でパスフレーズを使い回さず、各アカウントで一意のパスフレーズを使用する。
• 定期的に更新する
  • セキュリティを高めるために定期的に変更する。データ侵害があったら即刻変更する。
• MFA（多要素認証）を有効にする
  • 強固なパスフレーズを導入して安心するのではなく、認証のステップを増やすことで、セキュリティを強化する

　パスフレーズは従来のパスワードに代わる強力な方法だ。強固なセキュリティ対策とユーザーにとっての使いやすさを兼ね備えている。これまで紹介した方法に従うことで、より安全なパスフレーズを作成できるはずだ。

TechTarget発　世界のインサイト＆ベストプラクティス

米国Informa TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。