弱小パスワードを1発で最強クラスにパワーアップする魔法の言葉

シェアする(SHARE)

  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存
  • 1
スポンサーリンク(Sponsored link)

親愛なる読者諸君!

オタクパパだ。

前回は、覚えやすくて解読されにくいオタク流パスワードの作成法について紹介した。

だが、パスワード作成の具体的な手順を見て、次のように思った人もいるかもしれない。

「解読されにくいパスワードを作るのって、やっぱ面倒だな」

また、次のように考える人もいるかもしれない。

「いちいちパスワード作るのめんどくせーし、いま使ってるパスワードをちょこっといじるだけで、最強のパスワードになれば最高なんだがなあ!」

そんな虫のいい話があるわけねーだろ!

……といいたいところだが、実は、そんな虫のいい方法がないわけでもない。

というわけで、今回は、

弱小パスワードを一発でパワーアップさせる魔法の言葉

を紹介したいと思う。

スポンサーリンク(Sponsored link)

弱小パスワードをパワーアップする魔法の言葉は存在する

ところで、TVゲームのRPGでは、呪文を唱えるだけでキャラクターや防具の防御力を大幅にアップする魔法が登場する。

それでは、RPGみたいに、弱小パスワードをパワーアップする魔法のような言葉はあるのだろうか?

「弱小パスワードをパワーアップさせる魔法の言葉? そんな都合のいいものあるわけねーだろ!」

だが、実は、弱小パスワードを強化するための魔法の言葉はたしかに存在する

それは、

使用頻度の低いレアな記号だ!

使用頻度の低いレアな記号とは?

使用頻度の低いレアな記号とは、

[ ](角括弧)

{ }(波括弧)

&(アンパサンド)

#(シャープ)

“(二重引用符)

¥(円マーク)

などの、日常の文章を書く際にめったに使用されない記号だ。

「そんな記号を入れるだけで、弱小パスワードが強くなるんだったら、誰も苦労しねーよ!」

そう思いたくなるのも当然だ。

だが、実際にこれらの記号を入れるだけで、冗談抜きでパスワードが強くなるから恐ろしいのだ!

レアな記号でパスワードが強化された例

その証拠に、たとえ「password」「123」のような

「のび太級」の

 最弱パスワード

であっても、これらレアな記号を加えただけで、

パスワードの解読推定時間

400年近くまで増大した

という驚くべき報告があるのだ!

出典

 攻撃者の辞書攻撃に対抗するには、パスワード破り用の辞書に存在しない文字列にする必要がある。辞書にない文字列を作る最も簡単な方法は、記号を入れることだ。「現在使用しているパスワードの一番最初に記号を1つ挿入するだけでも、格段に強くなる」のだという。さらに、ほとんど使われない記号を使うことで、強度を高めることができる。

また、上の記事では、

「現在使用しているパスワードの一番最初に記号を1つ挿入するだけでも、格段に強くなる」

引用 セキュリティフライデーの佐内氏のコメント。下線は筆者による)

というコメントも述べられているほどだ。

このように、

レアな記号は、たった「1語」でも弱小パスワードを大幅にパワーアップする「魔法の言葉」

なのだ!

なぜ記号を加えるだけでパスワードが強化されるのか?

それではなぜ、レアな記号を加えるだけでパスワードが大幅に強化されるのだろうか?

それは、

辞書攻撃(*注1)

に強くなる

からだ!

説明しよう!

(↓ 難解なIT用語を解説する謎のWebマーケッター)

*注1:辞書攻撃とは

「辞書攻撃(dictionary attack)」とは、その名が示すとおり、辞書に載っている単語を高速のコンピュータを使って片っ端から入力することにより、パスワードを解読する手法だ。

辞書に載っているような「意味のある単語」は覚えやすいため、パスワードに使用している人も多い。それゆえ、辞書に載っている単語を片っ端から入力する辞書攻撃は、パスワード解読のもっともポピュラーな手法の一つとしてクラッカーに活用されている。

しかも、パスワードを入力する面倒な作業は、すべてコンピュータまかせなので、クラッカーは動画サイトなどをドヤ顔で鑑賞しながら、らくらくパスワードを解読できるのだ。

このように、辞書攻撃は、パスワード解読の手法としてポピュラーな手法だ。

しかしながら、たとえ辞書に載っている単語であっても、

レアな記号を1字加えるだけで辞書に載っていない言葉を簡単に作ることができる

ため、辞書攻撃にめっぽう強くなるのだ。

また、意味をなさない記号を加えることで、パスワードの元ネタを推測困難にできるというメリットもある。

パスワードがまったく強化されない残念な記号もある

このように、記号はパスワードをパワーアップする魔法の言葉といえるが、実は、パスワードがまったく強化されない残念な記号もある。

残念な記号とは、例えば、「pass-word」のような

単語の間に加えたハイフン(‐)だ。

このような記号は辞書攻撃に対して全く無意味なため、避けるのが無難だろう。

1対1の記号の置き換えはほとんど無意味

また、下のような機械的な1対1の記号への置き換えは、レアな記号を用いているため、一見パスワード解読に対して有効であるように思われるが、英語圏においてはかなりポピュラーな記号への置き換えだ。

a → @

i → !

s → $

前回の記事でも説明したが、クラッカーは、上のようなポピュラーな記号の置き換えもパスワード解読用のデータベースに加えてコンピュータに自動実行させているため、上のような置き換えは、

クラッカーに対してほとんど無意味なのだ。

(↓)いくら魔法の言葉でも、中途半端な記号の使い方をすれば、逆にクラッカーから返り討ちにあわされるおそれもあるので十分に気をつけたい。

それゆえ、上のような機械的な1対1の記号への置き換えは、一見パスワードが強化されたように思える。

だが、パスワード解読用のデータベースを有するクラッカーからすれば、

記号に変換する前の平文と同レベルであり、実質的にはパスワードは全くといっていいほど強化されていないと考えるべきだ。

要するに、上のような記号への変換は、

単なる自己満足にすぎないのだ!

いや、むしろ、このような変換を行うことによってパスワードが強化されたように錯覚して安心し、その結果、解読されやすいパスワードを完全に放置したまま、クラッカーに解読され放題になる分、余計にタチが悪いといえるだろう。

パスワードに使えない記号のまとめ

以上をまとめると、次のようになる。

1.単語の間にハイフン(‐)を加えてもほとんど無意味

2.機械的な1対1の記号への置き換えは、まったくの平文よりはマシだが、パスワード解読用のデータベースを有するクラッカーに対してほとんど無意味

あなたも自己満足の変換をしていないか、くれぐれも注意してほしい。

英文字から記号への変換に便利な表記法

英文字から記号への変換に役立つ表記法

以上、パスワードにレアな記号を使うことの重要性について述べた。

しかしながら、実際にパスワードにレアな記号を入れようとすると、意外と難しいことに気づく人もいるかもしれない。

「ハイフン(‐)も「a → @」のような変換も使えないんだったら、どうすりゃいいんだよ!」

だが、その点なら心配はいらない。

実は、英文字から記号に変換するうまい表記法があるのだ。

それは、

Leet(リート)

と呼ばれる表記法だ。

英語圏のオタク用の記号表記法「Leet」とは

Leetは、もっぱら英語圏のネット掲示板などで用いられる表記法であり、日本の某掲示板で使用される

(ry:略

JK:常識的に考えて

ggr:ググれ

KY:空気が読めない

などのようなネットスラングの一種のようなものだと考えてもらっていい。

Leetは、警察や素人などの検索を回避するために用いられてきた経緯があるため、日本では、

ハッカー語

と呼ばれることもある。

なお、Leetの詳細に興味のある人は、以下のサイトを参照してほしい。

参考

Leetは、日本での知名度が低く、一部のネットオタクの間でしか知られていないが、実は、弱小パスワードを一発でパワーアップできるツールとしてかなり便利な表記法なのだ!

それゆえ、一部のオタクだけにとどめておくのは、あまりにももったいないので、今回このブログで、Leetを活用したパスワード強化法を紹介したいと思う。

Leetを活用したパスワードの強化法

日本人向けにアレンジしたLeet表記法に基づく記号への変換表

それでは、具体的にLeetを活用したパスワードの強化法について説明したいと思う。

しかしながら、Leetは、英語圏のオタク用の表記法のためか、日本人の一般ユーザーには若干使いづらい。

そこで、日本人の一般ユーザーも気軽に使えるように、私なりにアレンジを加えることにした。

アレンジの基準は、以下の通りだ。

1.パスワードの設定に使用可能な記号のみに限定した

2.日本人にとって違和感が少なく、直観的にわかりやすい記号に限定した

3.記号のみを含むもの、記号と数字を含むもの、記号と英数字を含むものの三種類に分類し、使い分けを容易にした

下の表1は、上の基準に基づき、Leetをパスワードの変換用にアレンジしたものだ。

表1:Leet表記法に基づく英大文字から記号を含む文字への変換表

なお、表1のPDF版も以下に用意しておいた。各自ダウンロードして活用してほしい。

ダウンロード Leet表記法に基づく英大文字から記号を含む文字への変換表(PDF版)

また、下の表2に英小文字から記号への変換表を示す。

英小文字に表記のない文字の変換については、表1を活用するようにしてほしい。

表2:Leet表記法に基づく英小文字から記号を含む文字への変換表

また、表2のPDF版は以下のとおり。

ダウンロード Leet表記法に基づく英小文字から記号を含む文字への変換表(PDF版)

なお、上の表1・表2の活用に当たり、次の5種類の文字が相互に置き換え可能であることを知っておくと、さらに多くのパスワードのバリエーションを作ることができるだろう。

相互に置き換え可能な5種類の文字

「|」(バーティカルバー、縦線)

「I」(大文字のアイ)

「l」(小文字のエル)

「1」(数字の一)

「!」(エクスクラメーションマーク、びっくりマーク)

Leetを用いた具体的なパスワード変換法

さて、上の表を用いた具体的なパスワードの変換法だが、上でもあげた最弱のパスワード「PASSWORD」を例に説明しよう。

「PASSWORD」の変換法としては、例えば、次のような変換法があげられる。

「PASSWORD」→「|7^$$\N()!?|>」(全ての英文字を記号に変換した例)

この場合、上の表1における個々の英文字から記号への変換のバリエーションには、

P:1通り、A:3通り、S:1通り、W:7通り、O:3通り、R:4通り、D:9通り

のパターンがあるため、全体として、

「PASSWORD」

→ 1×3×1×1×7×3×4×9

= 2268通り

ものバリエーションが生じることになるのだ!

実際、変換前の「PASSWORD」の強度をパスワードチェッカーで計測すると、

このように最弱の強度だったのが、変換後のパスワード「|7^$$\N()!?|>」の強度は、

上のように、かなり強化されたことがわかる。

このように、Leet表記法に従って記号に変換するだけで、最弱のパスワードも大幅にパワーアップするのだ!

【応用編】英文字をより賢く記号に変換する方法

さて、上で紹介したLeet表記法に基づく変換方法は、あなたの弱小パスワードを強化するのに十分に役立つが、全ての文字列を記号に変換するのはかなり大変だ。

そこで、私が勧めるうまい方法は、

すべての文字を記号に変換せず

自分流の変換ルール」に従って

特定の文字のみを記号に変換する

ことだ。

自分流の変換ルールによる記法への変換例

例えば、次のような変換ルールが考えられるだろう。

自分流の変換ルール1:

1、3、7番目の文字だけを記号に変換する

例:「PASSWORD」→「|7AS$O!RD」

自分流の変換ルール2:

同じ英文字でもサービスごとに異なる記号に変換する(または変換しない)

例:(Aサービスの場合)

「PASSWORD」→「P^SS\NR|)」

(Bサービスの場合)

「PASSWORD」→「P/\SS\\’R1]」

(Cサービスの場合)

「PASSWORD」→「P/-\SS’//RI>」

自分流の変換ルール3:

変換後の文字列が英文字を含む場合、当該英文字をさらに記号に変換する

例:「PASSWORD」→「PASS\NORD」→「PASS\\VORD」

 (「W」→「\N」→「\\V」の2段階、英文字から記号に変換した)

自分流の変換ルール4:

特定の文字列の直後に、当該文字列を記号に変換した文字列を追加する

例:「PASSWORD」→「PASSWO\N()RD」

(5・6番目の文字列「WO」→「\N()」を「WO」の後に追加した)

特に、上の変換ルール4のように、

特定の文字列を記号に変換した後別の位置に追加する方法は、

変換が容易で覚えやすいだけでなく、パスワードが冗長になって総当たり攻撃(*注2)に強くなるため、オススメの方法といえるだろう。

また、上の変換ルールを複合的に組み合わせた変換法を採用するのも面白いだろう。

説明しよう!

(↓ 難解なIT用語を解説する謎の美人Webマーケッター)

*注2:総当たり攻撃とは

「総当たり攻撃」とは、その名が示すとおり、高速のコンピュータを使ってパスワードに用いられる全ての文字の組み合わせを総当たりで入力することにより、パスワードを解読する手法だ。

ダイヤル式の南京錠の番号を忘れてしまった場合、3桁の番号なら000から999までの1000通りの番号の組み合わせを全て試すことによって南京錠を確実に開けることが可能になるが、基本的にはこれと同じ原理だ。

総当たり攻撃は、解読のやり方が、力ずくによるため、ブルートフォースアタック(Brute-force attack)。「力ずくによる攻撃」の意味)とも呼ばれる。

また、総当たり攻撃の利点は、いつか必ず正しいパスワードの組み合わせを見つけることができる点にあるが、パスワードの桁数が長くなるほど解読に要する時間が膨大になるという欠点がある。

実際、株式会社ディアイティのセキュリティ調査レポートによると、パスワードの桁数が長くなるほど、解読に要する時間も長くなっていることがわかる(下の表3参照)。

表3:パスワードの文字の組み合わせ・桁数とパスワードの解読時間との関係(ZIP形式のファイルのパスワードを一般的なPCで総当たり攻撃して得られた結果。株式会社ディアイティのセキュリティ調査レポートに基づき作成)

参考

それゆえ、パスワードの桁数を長くすることで、総当たり攻撃に強いパスワードを作ることができるのだ。上の結果からは最低でも10桁以上のパスワードが望ましいことがわかる。

また、上の表3から明らかなように、英文字の他に数字や記号を加えたパスワードが圧倒的に強いこともわかる。

なお、上の結果は、4年以上も前の結果(2012年12月実施)であり、現在のPCの性能は、当時よりも格段に進歩しているため、現在では上の表3で得られた結果よりもはるかに短い時間でパスワードが解読可能なことはいうまでもない。

なお、上にあげた以外にも、さまざまな変換のバリエーションが考えられるので、あなた流の変換法を考案してほしい。

このように自分流の変換ルールに従って変換することで、それほど手間をかけずに弱小パスワードから最強のパスワード群を大量に生成することが可能になるのだ!

ネットに公開された情報をそのまま使うことの危険性

なお、上の例は、ネットに公開された時点でクラッカーの「データベース」に加えられると思うので、間違ってもそのまま使わないように注意してほしい

大切なことなので何度も書くが、ネットに公開された情報そのまま使うのは「自滅行為」だ。

それゆえ、必ず自分流にアレンジして、あなただけのオリジナルのパスワードを考案するように心がけてほしい。

パスワードを1発でパワーアップする最強の記号

パスワードをパワーアップする最強の記号はどれか?

最後に、締めくくりとして、

パスワードを一発で強化する「最強」の記号を紹介しよう。

ジャンプのバトル系漫画ではよく

「最強のキャラクターは誰か?」

ということが話題になることが多いだろう。

そこで、パスワードを強化する記号においても、

「最強」の記号

をあげるとすれば、それはどのような記号だろうか?

「やっぱり、

 『|』(バーティカルバー)、

 『\』(バックスラッシュ)、

 『~』(チルダ)、

 『^』(ハット)

 のような、日常でめったに使わない記号じゃね?」

たしかに、これらの日常でめったに使わない記号もたしかに強い。

だが、これらの記号は、

少なくとも記号として認識され、使用されている時点で最強ではない

「最強の記号」とは、使用の頻度が多い少ないという以前に、

そもそも記号であることすら知られていない

ような記号だ!

おい! 存在すら知られていないって、そんな記号、どこにあるんだよ?

あなたが疑問に思うのも無理はない。

だが、その記号は、あなたの目の前にあるのだ!

それは、

空白記号(スペース)

だ!

なぜ、空白記号があらゆる記号の中で最強なのか?

だがなぜ、

空白記号があらゆる記号の中で最強なのか?

このような疑問に対し、米LifehackeのコメンテーターであるJava-Princess氏は次のように述べている。

「ほとんどのパスワードシステムでは『スペース』の使用を許可していないので、意外と見破られにくい」

引用 米LifehackerのコメンテーターであるJava-Princess氏のコメント

出典

すなわち、

普段は、忍者のように姿を隠し、

ステルス能力をもった

見えない記号

だからこそ、

空白記号は、弱小パスワードを1発でパワーアップする最強クラスの魔法の言葉となりうるのだ!

というわけで、あなたも記号をうまく使って、弱小パスワードを最高にパワーアップし、充実したオタクライフを満喫してほしい!

オタクパパより愛を込めて!

スポンサーリンク(Sponsored link)
スポンサーリンク(Sponsored link)

シェアする(SHARE)

  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存

フォローする(FOLLOW)