繰り返しになりますが(「パスワードについて知らないことが、あなたを苦しめるかもしれない」を参照)、パスワードを絶対に忘れないようにする最善の方法は、1Password(
40ドル)などのパスワードマネージャーにパスワードの記憶を任せることです。ほとんどのパスワード、ほとんどの人、そしてほとんどの場合、これだけで十分です。しかし、どんなツールを使うにしても、少なくともいくつかのパスワードは記憶しておく必要があります。パスワードは最も重要なものなので、セキュリティと記憶のしやすさを両立させたくはありません。ここでは、脳があなたを裏切らないようにするためのヒントをいくつか紹介します。
記憶する必要があるパスワードを決定する
自分のパスワードの99%は、全く覚えていません。正直言って、全く覚えていません。コンピューターがランダムに生成した長い文字列で、ほとんど一度も見たことがありません。必要な時はパスワードマネージャーに入力させるか、何らかの理由でそれがうまくいかない場合はコピー&ペーストしています。結局のところ、アプリが14文字のランダムなパスワードを入力するのは、私が「baseball」という単語を入力するのと同じくらい難しいので、超安全な方法を選んでも失うものはないと考えています。
しかし、私が絶対に覚えているパスワードが一つあります。それは、パスワードマネージャーに保存されている他のすべてのパスワードのロックを解除するパスワードです。これはかなり重要なものです。また、OS Xのユーザーアカウントのパスワードも覚えておきました。これは1日に何度も入力するからです。OS XのFileVaultを使用しているため、Macを起動して自動化ツールにアクセスする前に、このパスワードが必要になります。iCloud、Gmail、Dropboxのアカウントのパスワードも頻繁に入力を求められるので(コピー&ペーストするのが面倒な状況が多いので)、これらも覚えておきました。
あなたの習慣やニーズによって、私のリストとは異なるかもしれませんが、ほとんどの人は6個程度のパスワードを記憶しておけば十分でしょう。パスワードを全部で何百個も持っていることを考えると、5つか6つを覚えるというのは、かなり簡単な作業です。
高エントロピーへの道を選ぶ
どのパスワードを記憶する必要があるかがわかったら、次の作業は、自動ハッキングの攻撃を阻止できるほど強力でありながら、すぐに入力できるほど覚えやすいパスワードを選択することです。さらに、ボーナスポイントとして、入力しやすいパスワードも選択する必要があります。
基本的な手順はもうご存知でしょう。他の条件が同じであれば、長いパスワードの方が短いパスワードよりも効果的です。パターンに従ったパスワードよりもランダムなパスワードの方が効果的です。そして、最も効果的なパスワードは、大文字と小文字、数字、そして句読点などの特殊記号を組み合わせたものです。しかし、パスワードを安全にするために、必ずしもこれらすべての要素が必要なわけではありません。例えば、長くてもシンプルなパスワードは、短くても複雑なパスワードと同じくらい安全です。これは、エントロピーと呼ばれる概念によって証明できます。エントロピーとは、与えられたパスワードが平均的にどれほど推測しにくいかを数学的に近似したものです。
計算方法にもよりますが、「7H#e2U&dY4」(ランダムな10文字)と「blanketsensory」(ランダムでない14文字)というパスワードは、強度的にはほぼ同等ですが、後者の方が覚えやすく入力もはるかに簡単です。小文字しか含まれておらず、「blanket 」と「 sensory」はどちらも普通の英語の単語であるにもかかわらず、このパスワードのエントロピーは非常に高いため、集中的なブルートフォース攻撃を行えば、解読に数日から数週間かかるでしょう。この話の教訓は(このXKCDコミックで見事に描かれているように)、パスワードを記憶する必要がある場合、完全にランダムな個々の文字で構成された短い文字列よりも、ランダムな単語や音節で構成された長いフレーズの方が覚えやすいということです。
記憶力に優れ、できるだけ少ない文字数で入力することが最優先事項であれば、より短いランダムなパスワードを選ぶのが良いでしょう。ただし、「短い」とはかつては8文字または9文字を意味していましたが、最近では12文字または14文字の方が安全です。とはいえ、ほとんどの人はランダムな短い文字を連ねるよりも長い単語の方が速く入力できるため、日常的に使用する場合は、意味のない12文字の文字列よりも25文字のフレーズの方が便利だと感じるかもしれません。
コンピューターにパスワードを選んでもらう
パスワードを覚えるには、記憶術的なヒントを使うようにアドバイスすることがあります。例えば、「カフェインレスだと気づく前にコーヒーを3杯飲んだことがある」という文章を、各単語の最初の文字だけを使い、大文字と数字を加えると「Iod3cocbriwd」という、かなり強力なパスワードになります。しかし、人間はこうした方法で生成されたパスワードに無意識のうちにパターンを取り入れてしまう傾向があるため(パスワードの推測が容易になる可能性があります)、私はコンピューターにランダム(ただし覚えやすい)なパスワードをいくつか生成させ、その中から聞こえの良いものを選ぶようにしています。これを行う方法は数多くあります。
Mac でキーチェーンアクセス (/アプリケーション/ユーティリティ内) を開き、ファイル > 新規パスワード項目と選択し、パスワードフィールドの横にある鍵アイコンをクリックすると、パスワードアシスタントウインドウが表示されます。 このウインドウで、タイプポップアップメニューから覚えやすいものを選択し、パスワードの長さを選択します。 ユーティリティによって、単語、数字、記号を組み合わせたパスワードが生成されます (「nineteenth8590.middlingly」や「baiting325@certifications」など)。 最初に表示される候補が気に入らない場合は、ポップアップメニューをクリックしてさらに表示するか、そのメニューからその他の候補を選択して別のリストを表示します。
1Password のパスワードジェネレーターには、発音可能な音節(必ずしも英語の単語とは限りません)の連続を生成するモードもあります。数字やハイフンの有無は問いません。例えば、「liegnicroci」、「lieg7ni2croc5i」、「lieg-ni-croc-i」などです。1Password アプリでこれらのパスワードを生成するには、「ファイル」>「新規項目」>「新しいパスワード」を選択し、 「発音可能」をクリックして、区切り文字と長さを選択します。「更新」ボタンをクリックすると、別のパスワードの選択肢が表示されます。(1Password のブラウザ拡張機能を使用する場合も手順は同様ですが、レイアウトとオプションが若干異なります。)
バックアッププランを1つ(または2つ)用意する
覚えやすい、あるいは発音しやすいパスワードをいくつか選んだものの、忘れてしまうかもしれないと心配な場合は、紙に書き留めておくのも悪くありません。ただし、その紙は安全な場所に保管しておきましょう。パソコンに付箋を貼るのはもちろん安全とは言えませんが、財布は最適な保管場所かもしれません(セキュリティ専門家のブルース・シュナイアー氏もまさにこれを推奨しています)。特に心配な場合は、最初の文字と最後の文字を入れ替えるなど、何らかの方法でパスワードを難読化することもできますが、もちろん、どのように変更したかを忘れてしまったら、それは大きな損失です。
最後に、その書類のコピーを配偶者や信頼できる友人に渡すか、貸金庫に保管することを検討してください。万が一、あなたに何かが起こり、家族や仕事仲間が緊急にデータにアクセスする必要がある場合、パスワードを頭の中にだけ保存するという「セキュリティ」は逆効果になる可能性があります。パスワードを保管する人が、あなた自身と同じように安全に保管していることを確認してください。
