wp.bmemo.pw

自分のための覚書・備忘録

セキュリティー

強力だけど覚えやすくて打ちやすいパスワードの作成方法

投稿日:2016年2月3日 更新日:

正直パスワードがランダム文字列だと覚えられないし打ちにくい。楽したい

でも世間はそれを許してくれない。比較的強力だけど覚えやすいパスワードの作成方法で、自分が実践している方法を紹介します

文章化する

一単語をパスワードに用いることが多いかと思いますが、パスワードを文章化して文字数を稼ぐことにより、総当り攻撃に強くなります。最近では、文章パスワードは仮想通貨のマスターパスワードに利用されることがあります

少し工夫すれば大文字、数字を含めたパスを作ることができ、より強力になります

例: There are 3 lamps

空白含め17文字です


空白を記号に

空白を任意の記号に置き換えてより強力なパスにします。

記号が含まれているかいないかの違いでだいぶ変わってきます

記号は、キーボード上でShiftを押さずに入力できるものを選択すると打ち込みが楽です

例: There@are@3@lamps

空白を同じ記号に変える方法

例: There;are$3%lamps

空白をすべて異なる記号に変更

キーボード上で左右にシフトする

QWERTY配列の一般的なキーボードを見てみましょう。

https://commons.wikimedia.org/wiki/File:109keyboard.svg

https://commons.wikimedia.org/wiki/File:109keyboard.svg

 

キーボード配列上でそれぞれ左右にシフトした文字を打ち込みます。

例えば、「pass」は…

「p」の右シフトは……@

「a」の右シフトは……s

「s」の右シフトは……d

なので「pass」は「@sdd」に変わります。辞書型攻撃に対応しづらくなるのでより強力なパスワードになります。左右でなく、上下にシフトするのも良いでしょう。

左右と上下、共に少なくとも1回シフトすると強力になりそうですが、逆に覚えづらくなりそうです。できる人は挑戦してみてもいいと思います。

例: Yjrtr[str[3[;s,@d

There@are@3@lampsを右に1シフト

例: Uktytqdytq4q:d.[f

There@are@3@lampsを右に2シフト(これ以上右シフトできない場合は左端に移動)

 


パスワードの強度テスト

試してみました。入力したパスは「 Yjrtr[str[3[;s,@d 」です。

Password Strength Checker

スクリーンショット 2016-02-03 21.09.21

Password Strength Checker

パスワード チェッカー: 強力なパスワードの使用 | Microsoft セーフティとセキュリティ センター

スクリーンショット 2016-02-03 21.08.56

パスワード チェッカー | Microsoft

 

つよい

 

 様々なアレンジでオリジナルのパスワード作成法を

17文字は流石に長すぎるって場合は、短い文章を考えたり、文章ではなく単語を複合したりなど工夫をしてみてください。

基本的にパスワードの長さが短いほど総当たり攻撃に弱くなりますので、自分が覚えられる限度ギリギリの長さのパスワードを作成しましょう。

「私は別の方法でやっている」「もっと良い方法がある」などがあればぜひ教えて下さい

-セキュリティー

執筆者:


comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

関連記事

WordPressとMarkdownを使ったXSS

去年見つけたXSS紹介します. WordPress上でとあるMarkdownプラグインを使用すると,JavaScriptの投稿を禁じられたユーザーでもJavaScriptを投稿できるようになります.複 …

安全で小回りの効く高対話型Honeypotを作る

知っている人がこのアドベントカレンダーに投稿していたので、過去にやっていた研究の話をアウトプットしようと思い私も投稿します。 ただし、筆者はコンピュータ初心者であり、今回の内容もCSS2016に出した …

BugBountyの賞金が口座に振り込まれるまでのメモ

先日,某アンチウイルスのバグを報告し賞金を頂きました.発見から報告まで自分ともう一人の二人体制でやったため賞金は折半ですが,賞金の引き出しは私がやったためメモに残しておこうかと思います.バグの詳細は修 …

「ゴルスタ」は個人情報収集アプリなのか?アプリ権限を確認してみる

「ゴルスタ」アプリは中高生限定のアプリで同年代同士匿名でコミュニケーションを撮ったり出来るアプリなのですが,その運営体制にちょっと火がつきました この件に関してはあまり興味が無いので,この炎上案件のつ …

Avast! 無料版 WEBスキャン機能の脆弱性

最近見つけたけど僅差で先を越されて報奨金取りそこねた脆弱性の解説をします.既に直ってます. 大手のアンチウイルスソフトには「WEBセーフスキャン」だとか「HTTPSスキャン」とかいう「暗号化されたHT …