覚えるパスワードの作り方

覚えなくて構わないパスワード（ブラウザなどのパスワードマネージャーに記憶させる最強のパスワード）の作り方は、

で紹介しました。最強のパスワードを自分で作るのが面倒な方はこのページのランダム文字列から90文字くらいをコピー＆ペーストして使ってください。

今回は覚えられる最強のパスワードの作り方です。

備考：あるニュース記事で”ブラウザのパスワード機能は使わない”とする記事がありました。その理由は、離席した場合などにパスワードが表示できる物もあるから、でした。しかし、PCをログインしたままロックもせずに離席すると、ログイン済みならアクセス仕放題、サードパーティー製のパスワードマネージャーを使っていても利用するサービスにはログイン仕放題、です。デバイスの物理セキュリティは何をしていてもある程度は使い方で保証しなければセキュリティは維持できません。

人は意味がないモノは覚えづらい

覚えないパスワードで推奨している強いパスワードは以下のような、CSPRNGから生成したパスワードです。

pe3TD1E01oarMDIxeSd2m0chQ7Hsu6Bt4XZ23A/k92XFUqXEEJrbEjqzSbNRBcxb2PrVhHeBxTKeKxN9DeiVvXn1FnWqgjzg9j3I8E5QS5qo5ku4p8Kq4wYZ/nmp7oITulzYUaqTRRP0umz

相当暗記力が高い方でもコレを間違いなく覚えるのは大変だと思います。私には無理です。

※ 覚えないパスワードは最強のパスワードが一番良いです。万が一、普通にパスワードハッシュ関数を使ってるパスワードデータベースが流出しても、上記のようなパスワードならオフラインで解析しても、まずパスワードは判りません。512bit以上のハッシュ関数を想定して、覚えないパスワードには 90文字以上をお勧めしています。

意味があるものなら覚えやすい

意味がある文字列なら比較的に簡単に覚えられます。57577の和歌は比較的に覚えやすいですが、全部で21文字です。しかもローマ字入力だとさらに倍以上になり、42文字以上の強力なパスワードが作れます。俳句の575でも24文字以上のパスワードが作れます。

20文字以上で十分なランダム性があれば、パスワードとして使っても大丈夫です。

覚えやすくても判りやすいパスワードはNG

自分が覚えやすいパスワードでも、攻撃者が類推しやすいパスワードだとNGです。

「柿くえば、鐘が鳴るなり、法隆寺」

などは最悪です。絶対にパスワードに使えません。

覚えやすくても判りづらいパスワード

人は連想（関連する物）を覚えるのは得意です。

最初に何かの単語、それで自分が連想するフレーズ、なら覚えやすいです。

「アルゼンチン、と言えばやっぱりマラドーナだぜ」

誰もが思いつきそうな例なので、あまり良くない例ですが、これがパスワードでも類推するのはかなり困難でしょう。

しかも”フレーズ”になっているので”てにをは”や”方言”の使い方などにも癖がでるので、類推しづらくなります。関西人でなければ、敢えて関西弁で

「アルゼンチン、言うたらマラドーナやわな」

などとすると判りづらくなります。

最初の単語をランダムな単語にする

とは言っても、人が直ぐ思い付く単語はそれほど多くはありません。これを補うには辞書や辞典を使います。出来るだけ大きな紙の辞書や辞典を用意して、適当にページを開いて、適当な単語（ただし、自分が覚えやすい物）を選びます。

例えば、「ローマ」を選んだとします。

「ローマと言うたらお姫さんでごわす」（”ローマの休日”が好きな映画の１つなので）

といった感じにします。人名辞典や地名辞典だといろいろと想像を膨らませやすいと思います。とは言っても、他人に判りづらい物を選ぶ点だけには注意しましょう。

句読点などを適当な文字に変える

これまで紹介してきた方法でローマ字入力するだけでも、かなり安全なパスワードになります。でも念には念を入れましょう。先程の

「ローマと言うたらお姫さんでごわす」

に適当に句読点を , とは別の文字で入れる。仮に @ にします。

これに加えて、適当に語呂合わせで数字などに変えます。出来上がったパスワードは

「roma101ttara@ohimesande5wa4」

これなら比較的覚えやすく、他人には判りづらい、パスワードが作れます。

色々まぜると覚えづらい場合

他人に判りづらくて、ある程度の長さ（最低でも16文字以上を推奨）があるパスワードなら

「roma101ttara@ohimesande5wa4」

ここまで複雑にする必要はあまりないでしょう。少し簡易化して

「Roma10Ittara,ohimesama,Degowasu」

でも十分でしょう。適当に大文字を入れるだけでも、かなり強度は高くなります。

まとめ

もっと短くても日本語の柔軟性を駆使すると、簡単で覚えやすいけど、判りづらいパスワードが作れます。

もう少し工夫を入れても覚えやすいままでしょう。

• 敢えて選んだ単語から始めない
• 敢えて間違った事を文章にする
• 英単語をローマ字で書く（またはその反対）
• 適当に ! ? を使う（文意に合った物でも構わない）
• 顔文字を使う
• 人名ならイニシャルやニックネームを使う（ただし、続く文が十分に長いこと）

正しい（？）日本語以外することもできます。方言は既に例示しました。この他に、

• 数字の当て字
• 読み方を間違える
• 濁音／半濁音は清音（またはその反対）
• ”てにをは”のどれかは省略
• わざとおかしな”てにをは”にする
• ”ゃゅょ”などを”やゆよ”として書く（またはその反対）
• おかしな省略形を使う

などをしても構わないでしょう。まだまだ覚えやすいままで変形できます。要は自分が覚えやすいパターンで辞書攻撃や推測されにくければOKです。色々と試してください！

とは言っても、簡単にしすぎるのは禁物です。十数文字では短過ぎます。できれば20文字以上のパスワードにしましょう。長さが重要です。長くても覚えれますから！

最後に、覚えていているから、といって他人のPCやデバイスにログインは禁物です。基本的に他人のデバイスにはログイン禁止です。