パスワードを12文字以上にすれば、必ずしも記号を使う必要はない――。インターネットの危険情報を取りまとめるセキュリティ組織であるJPCERTコーディネーションセンター(JPCERT/CC)は、推奨するパスワードの作り方の方針転換をした。これまでは「大小英字、数字、記号といった全文字種を組み合わせて、8文字以上のパスワードにする」を推奨していた。

 JPCERT/CCは2018年8月1日から31日まで「STOP!パスワード使い回し!キャンペーン」を実施している。パスワードの使い回しを控えるように呼び掛ける活動で、2014年から毎年実施している。2018年はヤフーや楽天、セブン銀行など26の賛同企業/団体とともにユーザーに呼びかけている。キャンペーンでは、破られにくいパスワードの作り方と管理方法をユーザー向けに紹介している。この内容が2017年までと比べて大きく変化した。

 2017年までは「大小英字、数字、記号といった全文字種を組み合わせる」「8文字以上にする」という方法を推奨していた。具体的には「Jp+w2st0」のような、単独では意味が分からない文字列だ。文字列を生成するためにユーザー独自の置き換えルールを持つように勧めていた。例えば、上記の例は「JPCERT+WW+STOP」という単語の組み合わせから、「冒頭の単語の先頭2文字を使い、次は記号を入れ、その次の単語は…」という一定のルールで作成している。

2017年まで推奨していたパスワード作成方法
[画像のクリックで拡大表示]

 一方、2018年のキャンペーンでは、ユーザー独自の置き換えルールの利用は推奨しなくなった。また、利用する文字種は「様々な文字種を組み合わせるとより強固になる」と表現を弱め、全文字種の利用を強く推奨はしなくなった。その分、推奨する文字列の長さを12文字以上に増やした。新しいパスワード作成方法で推奨する具体例が「motionsubaru360exporttanuki」といった単語の組み合わせだ。これは「motion」「export」といった英単語と「subaru360(スバル360)」「tanuki(タヌキ)」という日本語の単語の組み合わせで作成した。置き換えはせず、複数の単語をそのまま羅列している点がポイントだ。

2018年以降の推奨パスワード作成方法
[画像のクリックで拡大表示]

この先は有料会員の登録が必要です。今なら有料会員(月額プラン)は12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら