パスワードの作り方

　私の会社では、パスワードを年に一回変更するというセキュリティポリシーがあります。そのため、つい最近私も何種類かのパスワードを変更しました。パスワードを作るときの注意事項については、いろいろの文献やインターネットでも公開されていますが、一般的には短いパスワード、使用者から推測しやすいパスワード（電話番号、生年月日など）、辞書にのっているような単語を使ったパスワードなどは、良くないパスワードと言われています。つまり、覚えやすいパスワードは駄目ということになります。また、覚えにくい長いパスワードを作ったとしても忘れてしまっては、いけないのでメモを残そうとすると、これも駄目だと言われてしまいます。実際に私の会社でもパスワードをメモすることは禁止しています。

　それで、よく推奨されるのが、自分の好きな歌や文章から連想されるようなパスワードを作る方法があります。たとえば、「セキュリティポリシー」から「s9Rtpl4」というパスワードを作るやり方です。この方法も理論的には納得できるのですが、大文字小文字の区別や、何種類か作るとなると結構メモをしないで覚えるというのは、苦労します。

　そこで、発想を転換して、作ったパスワードをメモにするから脆弱になるのであって、既存に存在する文字列をパスワードにしてしまうというのはどうでしょうか？私が情報システムの担当者だった頃は、サーバのパスワードを作るのに英文のマニュアルのあるページの英文字を右上から縦に8文字取ってさらにそのページ数の数字を2文字追加して10文字のパスワードにしたことがあります。英文は当然横書きなので、縦に文字を取ってくるとよっぽどの偶然がなければ無意味な文字列になります。

　インターネットに接続後に使うパスワードであれば、既存にあるWebの文字列をパスワードに使う方法も考えられます。たとえば、先週書いた「MO式リスク分析」のページの本文を左上から一文字づつ取ってくると、「セ出資一き」となります。これをローマ字に展開すると、「sedeshi1ki」となり10桁のパスワードができあがります。この例では大文字小文字が混在していませんので、もっと複雑にという意見もあるかもしれませんが、ユーザーが使うパスワードであればこの程度で充分でしょう。この方法を使うとメモをしなくても「お気に入り」に登録しておくといつでも見ることができるというメリットもあります。ただし、注意しなくてはいけないのは、文字の大きさを変えたり、パソコンの解像度が変わると違う文字列になってしまうこと。一年程度はなくならないWebのページを選ばないといけないことです。実際には、ある程度頻繁に使うパスワードであれば、意味のない文字列にしていても何十回か使うと自然に覚えてしまいますので、それほど心配はいりません。意味のないパスワードを覚えきるまでの方法としては、安心感のある方法だと思います。いかがでしょうか？