安全性の高いパスワードの必要性と、すべてを簡単に思い出せる実用性とのバランスをどのように取っていますか?唯一の安全なパスワードは思い出せないものですが、パスワード マネージャーを使用できず、記憶に頼る必要がある場合もあります。
この投稿は元々、バッファブログ。
これは、セキュリティ侵害が発生するたびに私が考える質問です。昨年の春に Heartbleed の脆弱性が発見されたとき、全員がすべてのパスワードを直ちに変更することが義務付けられました。それはまだ私のやるべきことリストに入っています。ハッキングされると思うと身がすくんでしまいますし、お気に入りのパスワードを完全に見直すために時間と精神力を費やすと思うと身がすくんでしまいます。
これはあなたに似ていますか?
もしあなたが、独自のランダムで解読不可能なパスワードを管理するシステムを導入しているとしたら、そのあなたには脱帽です。いくつかの推定によると、あなたは、パスワードを再利用しない、十分に保護されたユーザーの 8% に含まれています。
私たちの残りはまだ解決策を探しています。安全なパスワードを作成することが最も重要であることはわかっていますが、実際に必要な重要なランダムなパスワードをすべて作成して思い出すにはどうすればよいでしょうか?この投稿を書くことで、パスワードを正確に理解できるようになりました。覚えやすい安全なパスワードを作成する方法について私が学んだことは次のとおりです。
解読不可能なパスワードの構造
パスワードが長ければ長いほど、解読が難しくなります。12 文字以上のパスワードを検討してください。
名前、場所、辞書の単語は避けてください。
混ぜ合わせてください。大文字、スペル、数字、句読点のバリエーションを使用します。
これら 3 つのルールにより、ハッカーによるパスワードの解読が飛躍的に困難になります。パスワード クラッカーが採用する戦略は信じられないほど効率的なレベルにまで進歩しているため、作成するパスワードは珍しいものにすることが不可欠です。こちらですセキュリティ専門家のブルース・シュナイアー氏の例パスワード クラッカーがどこまで進歩したかについて:
クラッカーはさまざまな辞書を使用します。語根には、英単語、名前、外来語、発音パターンなどが含まれます。付属物には 2 桁の数字、日付、単一の記号などが含まれます。彼らは、さまざまな大文字と小文字の区別や一般的な置換を使用して辞書を実行します (「s」は「$」、「a」は「@」、「l」は「1」など)。この推測戦略は、すべてのパスワードの約 3 分の 2 をすぐに破ります。 。
Adobe などのサイトでの最近のパスワード侵害私たちのパスワードの多くがいかに安全でないかを示しました。以下は、Adobe の侵害で判明した最も一般的なパスワードのリストです。おそらく言うまでもありませんが、これらのパスワードの使用は避けてください。
123456
123456789
パスワード
管理者
12345678
クワーティ形式
1234567
111111
フォトショップ
123123
1234567890
000000
abc123
1234
アドビ1
マクロメディア
アゼルティ
愛してます
ああああ
654321
選択したパスワードが安全かどうか知りたい場合は、次のようなオンライン パスワード チェッカーを使用してパスワードを実行できます。オンラインドメインツール。長くてランダムな一意のパスワードの重要性を強調するために、オンライン チェッカーには、パスワードの文字のバリエーション、辞書での出現状況、およびブルート フォース攻撃による解読にかかる時間を表示する特定のフィールドが用意されています。
解読不可能なパスワードを選択する 4 つの方法
ランダムで解読不可能なパスワードを考える場合の唯一の問題は、ランダムなパスワードは覚えにくいことです。韻も理由もなく、まさにランダムな方法で文字を入力している場合は、誰かが解読するのと同じくらい、その文字を思い出すのに苦労する可能性があります。
したがって、一見ランダムに見えるパスワード、つまりクラッキング ソフトウェアが認識するのはほぼ不可能だが、ユーザーにとっては意味や親しみのあるパスワードを使用するのが合理的です。ここでは試してみたい4つの方法を紹介します。
ブルース・シュナイアーのメソッド
セキュリティ専門家のブルース・シュナイアー氏は、2008 年に次のようなパスワード方式を提案しました。彼は今日も勧めています。次のように動作します。一文を取り出してパスワードに変換します。
文章は個人的で思い出に残るものであれば何でも構いません。文から単語を取り出し、独自の方法で短縮して組み合わせてパスワードを作成します。例文を4つまとめてみました。
WOO!TPwontSB = ウーフー!パッカーズがスーパーボウルで優勝しました!
PPupmoarT@O@tgs = 食料品店で Toasty O をもっと買ってください。
1tubuupsh… imj = ボタン留めのシャツをジーンズの中に押し込んでいます。
W?ow?imp::ohth3r = どこですか、ああ、私の梨はどこですか?ああ、そこね。
エレクトラム法
ビットコインウォレットの管理には、高レベルのセキュリティと安全なパスワードへの大きな依存が必要です。エレクトラムを入力してください。Electrum ウォレットは 12 ワードのシードを提供しますこれにより、すべてのビットコイン アドレスにアクセスできるようになります。シードはビットコインのマスター パスワードとして機能します。
このタイプのパスワードはパス フレーズとも呼ばれ、セキュリティについての少し新しい考え方を表します。覚えにくい文字列の代わりに、長いフレーズを作成できます。 (注記:ブルース・シュナイアー氏が警告パスワード クラッカーは現在、一般的な辞書の単語を推測して組み合わせているため、パス フレーズ手法を試す場合は、できるだけ長く続けてください)。
パスフレーズのアイデアは、次のコミックに非常にうまく反映されています。xkcd:
独自の 12 単語のシードを作成するにはどうすればよいでしょうか?思った通り簡単です。12個のランダムな単語を考えてください。
「冬でも犬たちはほうきと近所のキットカットでパーティーをする」のようなフレーズから始めることができます。そうであることを確認してください単純なフレーズや既存の文献から引用したフレーズではない。 「パントリー アヒル コットン ボールキャップ ティッシュ 飛行機 いびき オール クリスマス 水たまり 丸太 カリスマ」など、12 個のランダムな単語を取得することもできます。
パスワード チェッカーに入れると、上記の 12 単語のパス フレーズは、ブルート フォース攻撃を解読するのに 238,378,158,171,207 クアドラギティリオン年かかることを示しています。
PAOメソッド
記憶テクニックと記憶装置は、破られないパスワードを思い出すのに役立つかもしれません。少なくとも、それはカーネギーメロン大学のコンピューター科学者によって提唱された理論彼らは、パーソン・アクション・オブジェクト (PAO) メソッドを使用して、解読不可能なパスワードを作成および保存することを提案しています。
PAO はジョシュア・フォアのベストセラー本で人気を集めましたアインシュタインと月面歩行。方法は次のようになります。
興味深い場所 (ラシュモア山) の画像を選択します。おなじみの人物または有名人 (ビヨンセ) の写真を選択します。ランダムなオブジェクトと一緒にランダムなアクションを想像してみてください (ラシュモア山でゼリーの型を運転するビヨンセ)。
PAO 暗記法には認知的な利点があります。私たちの脳は、視覚的で共有された手がかりや突飛で珍しいシナリオをより良く記憶します。いくつかの PAO ストーリーを作成して記憶したら、そのストーリーを使用してパスワードを生成できます。
たとえば、「driving」と「Jello」の最初の 3 文字をとって「driJel」を作成できます。他の 3 つのストーリーでも同じことを行い、自分で作った単語を組み合わせると、他人には完全にランダムに見えながらも、自分にとっては馴染みのある 18 文字のパスワードが完成します。
音声マッスルメモリー
私は自分の個人用パスワード システムに少し興味を持ち、時間をかけて奇妙で珍しい、ランダムなパスワードを作成するために使用してきました。私の方法は、音声学と筋肉記憶といういくつかの便利な記憶装置に依存しています。仕組みは次のとおりです。
に行くランダムパスワード生成サイト。
少なくとも 10 文字の長さで、数字と大文字 (勇気がある場合は句読点も) を含む、新しいパスワードを 20 個作成します。
パスワードをスキャンして音声構造を探します。基本的には、頭の中で発音できるパスワードを見つけるようにしてください。例: drEnaba5Et (ドクターエナバ 5 ET) または BragUtheV5 (V5 を自慢します)。
読み仮名パスワードをテキスト ファイルに入力します。入力のしやすさと入力の速さに注意してください。入力しやすいパスワードは、すぐに脳に定着してしまう傾向があります。
発音を覚えたパスワードを保管してください。残りを投げます。パスワードキーパーを使用してテキストファイルを印刷します。
最もよく使用する Web サイトのパスワードを一度に 1 つずつ変更します。新しいパスワードを完全に記憶するまでに 1 ~ 2 時間入力する必要がありますが、十分に入力すれば脳に定着するはずです。私はこの方法に基づいて何年も前のパスワードを今でも覚えています。
安全なパスワードを実現するために次に重要なステップ
超安全なパスワードを作成した後、非常に重要なステップが 1 つ残っています。同じパスワードを決して再利用しないでください。
おっと。この部分に引っかかる人は多いと思います。一意のパスワードを作成して記憶することは、それ自体では困難であり、ましてや複数回行うことは困難です。私は 1 日に 1 回、新しい Web サイトまたはサービスに登録しているようです。これは 1 か月に 30 個の新しいパスワードを作成することになりますが、私の脳ではそのすべてを保持できないのではないかと思います。
独自のパスワードを作成し、単一のパスワードを決して再利用せず、高速かつ効率的に (そして「パスワードを忘れた場合」リンクにアクセスせずに) ログインするにはどうすればよいでしょうか?
ここで、セキュリティとユーザビリティの問題が私にとって本当に心に残りました。幸いなことに、この難題を解決するために採用できるさまざまなアプローチが数多くあります。
パスワード管理ツールにサインアップする
パスワード セキュリティを確保する最善の策は、次のようなツールにサインアップすることです。ラストパスまたは1パスワード。これらのツールはパスワードを保存します (必要に応じてランダムな新しいパスワードも提供します)。必要なのは、保存されたデータへのアクセスを許可する単一のマスター パスワードを覚えておくことだけです。マスター パスワードを 1 回入力すれば、残りはパスワード管理ツールが実行します。
これらのいくつかパスワード管理ツールブラウザ内またはモバイルデバイス上でもうまく統合できます。暗号化されたデータは安全に保存され (ツールはオンラインで入手できるのと同じくらい安全です)、パスワードは簡単に取得できます。ほとんどの場合、パスワード マネージャーを使用するのが最善の方法であり、不便に気づくのは、外部のデバイスからログインしている場合や、サービスにアクセスできない場所からログインしている場合だけかもしれません (本当にまれなケースです)。
最も重要なツール、アプリ、Web サイトの元のパスワードを保持する
私が出会ったもう 1 つの戦略は、考えられるパスワードをできるだけ多く頭の中に保存して、記憶力を最大限に高めることです。電子メール、Facebook、Twitter、銀行などの重要なサイトにはオリジナルのものを使用してください。重要度の低いすべての箇所には、共通の (ただし解読が難しい) パスワードを使用してください。
もちろん、ここでのリスクは、それほど重要ではないスポットの 1 つが侵害された場合、そのすべてが危険にさらされることです。非常に重要な電子メール、ソーシャル、お金のアカウントが安全になるのは素晴らしいことです。ハッキングされた Disqus アカウントは、アサイー フルーツがどれほど好きかについて投稿している可能性がありますが、それはそれほど素晴らしいことではありません。
ハイブリッド方式: パスワード管理と記憶
2 つの方法を混合するとどうなるでしょうか?最も重要で最も頻繁に使用するツールのパスワードを記憶し、残りのツールには LastPass または 1Password を使用します。
LastPass や 1Password へのアクセスが最も困難な場所 (たとえば、常にログインしているモバイル アプリなど) で最も頻繁に使用するパスワードを記憶するような方法でパスワードを分割することもできます。
結局のところ、次のことを覚えておくことが重要です。複雑なパスワードは危険にさらされる可能性がありますパスワードが Ulysses より長いからといって、完全に安全であると考えるべきではありません。アカウントを侵害する可能性のあるフィッシング詐欺やその他の一般的な手法を回避するには、知恵と常識が必要です。また、2 要素認証が利用可能な場合は常に有効にする必要があります。
後で思い出せる安全なパスワードを作成する方法: 4 つの主要な方法|バッファブログ
ケヴァン・リーのコンテンツクラフターですバッファ、Twitter や Facebook で共有するための賢い方法です。
画像は以下から引用ドヴァーグ(シャッターストック)と何(ピクサベイ)。イラスト:xkcd。写真提供者ダニエルSTL(フリッカー)、ジャン=エティエンヌ・ミン=デュイ・ポワリエ(フリッカー)、およびJ ブリュー(フリッカー)。
Lifehacker であなたの作品を見てみませんか?電子メールアンディ。
