複雑な上サービスごとに別。なのに！忘れないパスワードの作り方

allabout.co.jp

この記事を見ましたが、甘っちょろい！というか思い出しづらい！僕が普段から使っている「複雑な上にサービスごとに違うパスワード！なのに忘れないパスワード」の作り方をお教えします。他方で便利だと評判の方法です。

ポイントは「パスワードを覚えるのではなく、パスワードを作るルールを覚える」です。

パスワードをサービスごとに生み出すルールを１つ作ってそれを覚えればよいのです。

※この説明でセキュリティ的な被害が発生しても責任は負いません。

簡易バージョン（オススメしません）

それでは簡易バージョンのルール作りを説明していきます。この後の本気バージョンで何をしていくかの簡単バージョンの説明をします。

サービスごとのパスワードを作る上でいちばん簡単なのは「固定文字＋サービスごとに変わる文字」というルールです。固定文字は僕の名前「kent」としてgoogleだと「kentgoogle」、yahooだと「kentyahoo」になります。もっと簡単なのは固定文字すらないルールですね。

ただこれですと複雑でもなんでもない。記号や数字を入れて強固にしたいし、これでは簡単にルールが分かるので、googleでパスワードが漏れた場合「googleをyahooにすればいいかな？」と推測しやすいです。なのでここからさらに複雑にしていきます。

本気バージョン

ここから本気バージョンです。あくまで参考にするだけでルールはご自身で作ってください。

固定文字を決める

固定文字部分は辞書(とかよくつかわれる言葉リスト)にある言葉を元にパスワードを突破しようとする人がいるので「kent」はやめておきます。「entk」にしました。理由はありません。なんとなくです。そういうルールです。自分で作った単語でもいいです。

nだけ大文字にするルールにしてもいいですね。「eNtk」

数字や記号を入れて複雑化

数字と記号を入れましょう。数字はベッカムの背番号"23"(元はと言うとマイケルジョーダンの背番号ですが)。記号は"-"にします。両方ともなんとなくです。間に入れて「en23-tk」としました。これで固定文字列ができましたので、サービスごとに変化する部分を加えていきます。

サービスごとに変わる文字を決定

サービスごとに変わる文字を決めてサービスごとに違うパスワードにしていきます。

たとえばドメイン(ページごとにURLは変わるが、左の方のwwwとかcomとかある変わらない部分)を見て、子音を後ろから3文字使ってみるとします。たとえばgoogleなら「en23-lggtk」、yahooなら「en23-hytk」となります。yahooは子音が2つでしたのでhyだけです。

だいぶ複雑になってきました。これで十分かなと私は思いますが、さらにもう一つくらいルールを付けてみてもいいかもしれません。たとえば母音の数を数えて、その分23に加えてみるとか。「en26-lggtk」「en26-hytk」。今回は両方とも母音が3つでしたのでともに26になりました。ただここまでルールが増えてくるとだいぶ複雑ですかね？と思いきや案外覚えられたりするもんですよ。ぜひやってみてください。

いやいや「en26-lggtk」「en26-hytk」の二つだとまだ推測されるんじゃ…と思う方はより複雑になるパスワードを考えてみてください。このルールはあくまで説明用のサンプルです。僕の普段のはもちろん違うルールですし。

困ること

このルールで大体のサービスに対応出来るんですが。サービス側のパスワードのルールに制限があってこのパスワードが利用できない場合があります。たとえば…

サービスによっては記号が使えない場合がある。→記号なしにして対応。
文字数上限があって、今のパスワードでははみ出る。→母音を消す、後ろから消すなどして対応。
普段小文字しか使っていなくて、大文字を含めなくてはいけない場合。→どの場所を大文字にするか決めておいて対応。

こんな風にサブルールと作っておくとイイと思います。時々「小文字と数字だけで6文字以上8文字未満で」というサイトがあって、さすがにそんなパスワードのルールで大丈夫か？正直使いたくないぞと戦々恐々しながら使ってるサービスが僕にはあったりします。

あと困るのが過去の履歴が取られていて過去のパスワードは使えないサービスがあります。たとえばGoogleとかWindowsとかです。その時は２世代目の別のルールを作って対応しています。１から作り直さなくてもよくて、ルールの一部を変更すれば見た目がだいぶ変わるようにすればいいと思います。初代のを普段から使っていれば、２つ目を覚えるのも楽です。

この方法で作った場合のメリット

あるサービスでパスワードの漏えいがあっても、使い回しパスワードではないので犯人がそれを使ってもログインしにくい。
辞書を使ったパスワード突破に対しても意味のない文字列しか使っていないので犯人がマシンを使っていてもログインしにくい。
人間が見てもルールが分かりづらいようにしているので漏えいがあってもパスワードを予想しにくいのでログインしにくい。

すんごく頭のいいマシンや人が本気を出せば解けちゃうかもしれないから、「ログインしにくい」としています。あと漏えいしたパスワードを見ながら「う～んう～ん」と悩んでまでしてログインを試みるような人物であれば解かれる危険性があるかもしれませんが、僕はそうではありません。ケントはいったい何を取られようか、いや取られるものはない。

サブ的なメリット

パスワードメモがいらない。ルール１つ覚えるだけでOKなので記憶だけで十分。ルールをメモする場合は、パスワードをかけるとか暗号で自分だけしか解読できないようにするとかして管理しましょう。バレたら全滅。
普段から色んな文字種を使っているので急に強固なパスワードを設定しろと言われても問題ない。これはそんな大層なメリットでもないかな。

パスワードを忘れた時の再設定にメールが使われるのが一般的です。ですので(たとえばGmailを僕は使っていますが)Gmail(Google)のパスワードだけ違うルールにするとか、標準機能の二段階認証を使うなどして乗っ取られたらヤバいところは特にしっかりと管理しましょう。

戯言

パスワードは覚えていないので毎度毎度ルールを思い出しながらログインしています。なのでパスワードの字面を見ることは普段ありません。パスワード問い合わせした時に、サービスによっては「あんたのパスワードはこれよ」ってメールでパスワード見せられる時がありますが、案外それがいつも使ってるパスワードだとピンと来なかったりします。あくまで覚えているのはパスワードではなく「パスワードのルール」ということです。

出たてのサービスを一報聞いてすぐに試したけど使わず放置。すっかりそんなサービスのことを忘れていて「利用者が増えています」ってニュース見て久しぶりにアクセスし、「初見のつもりだけどもしかしたら過去に新規登録してるかな？」と思ってログインを試してみると案外ログインできちゃうこととかあって驚きです。それも１ルール無限パスワードの恩恵ですかね。（←急に思いついた単語。逆に新規登録してみたら既にあるよと言われることももちろんあります。）

僕のパスワードルールの状況は～Googleなんかの一部は今2・3代目ルールのパスワードを使って入っていますが、その他は10年近く初代のルールでログインしています。ずっと1つのルールで通用するのは楽なんですが、こまめに変更することは大切なので初代ルールのサービスを利用する時に2代目以降のルールに切り替えていかないといけないなとも思っています。（初代ルールを使ったことも忘れられているサービスは大した被害にもならないと思うので切り替える必要すらないと思います。）

最近「ない仕事」の作り方という本を読みました。ネーミングするのって重要だなと。ということで、これに名前を付けてみると～「ルール式パスワード」とか「ルール生成パスワード」とかでしょうか。おまけで「ケント式パスワード」？ｗみうらじゅんさんみたいな洒落たのがどうも思いつきませんｗ；独自に思いついた方法なんですが、調べてみたら案外同じような方法を紹介している記事がありました。なのでネーミングなんて不要かもしれませんね。