パスワードが悩みの種だ。
　あちこちのサイトでパスワードを入れるように言われるので、なるべく同じパスワードをと思って入れようとするが、小文字と大文字を使えだの、記号を使えだの、8文字以上だのと条件が異なって、同じパスワードを使うことができない。
　それに、パスワードを同じにしている場合、万一の場合に、全部のサービスがハッキングされるリスクがあるので、それもやばいと気づき、やっぱり覚えられないので、ついにあるところに書き留めることにした。
　どこに書いたかは秘密だが、ほんとうは、足の裏に「入れ墨」で入れたい気分である。

　今朝、How to Outguess Passwordsという記事を読んで、悩みはみんな一緒なのだなと改めて思った。
　その記事にあった、かなり怖い事実。（以下引用）

◆パスワードを収集するために、つまらないサービスを提供しているサイトがある。収集したメールアドレスとパスワードは、20ドル程度の相場で売る。

◆１％のパスワードは4回のトライで発見できる（　たとえば、”password”、 ”123456”、” 12345678”、” qwerty”　（引用間違いで最初”qwerry”としていました。ご指摘ありがとうございます）

◆John the Ripper というフリーソフトは何百万というパスワードを1秒で試す能力がある。科学捜査に使われる有料ソフトのひとつは28億回/秒とうたわれている*1

◆クラッキングソフトは何千というよく使われる言葉のリストを保持していて常にアップデートされている。まずそのリストを試したのちに、Dictionary Attack（辞書にある言葉をしらみつぶしに調べる）を行う

◆数字や記号を大文字などをパスワードに加えることをmanglingというが、それで安全なパスワードになると思うのは錯覚。たとえば、多くの人は、

＊数字を加えるように言われると　password1 とか　password123になる
＊大文字を加えるように言われると　Password　とか　PaSsWoRd になる
＊記号を加えるように言われると　password! とか　p@ssword になる

　記事によれば(以下は記事からの要約と僕なりの解説を加えたものです）、パスワードの保持には、（１）予測されにくいものにする、（２）それが盗まれないようにする　の二面での注意が必要であるという。

　
　（２）については、多くのひとが意図的に盗まれるリスクがあるとは思っていないが、さまざまな局面でたいていのひとは悪意や恨みさらされることもあり、充分な注意が必要であると記事には書かれている。たとえば、ビジネスや離婚訴訟など、その契機となることは普通にあると。
　その場合、パソコンにスパイウェアが入れられていないか常に注意する必要があるし、また、背後からのぞき込まれるというような原始的な方法もケアする必要があるという。

　（１）の「予測不可能なものにする」ということも重要で、上に書いたようなソフトを使うと、たいていのひとが考えつくようなパスワードというのは、どれほど工夫しても安全とはいえないという。
　だけど、もちろん、パスワードは覚えれるものでないと、意味がない。
　記事の筆者は、完全にランダムにつくられたパスワードをひとつつくって、暗記してしまおうと提案している。
　電話番号や生年月日のようなランダムな数字を覚えることができるのに、現代社会ではそれと同じように重要なパスワードひとつ、なぜ、真剣に覚えようとしないのか、と。

　彼が推薦しているのは、Random.orgのようなサイトで完全にランダムなパスワードをつくることだ。
　たとえば、そのサイトでは、大文字、小文字、数字を使った完全にランダムなパスワードが簡単につくれる。
　やってみたところ、こんな感じ。

• AGSSxzvd
• FWCkDzT2
• dPFBMNEh
• 5vnXFRpe
• MsGHa2Sp

　
　この8文字のパスワードは218兆通りあり、それをソフトで割りだすことは、現実的には不可能となる。それでも不安であれば、記号をひとつ加えれば、さらにセキュリティは強固になる。

　なんとかして、それをひとつ覚えるのだ。
　そのパスワードは何回も簡単にトライできるので、いくつか覚えやすそうなものを書き留めて最高のものを選ぶ。
　語呂合わせできやすいものを選んでもいいし、たとえば、上のリストの中では、

• AGSSxzvd

　だって、本気になれば、覚えることができそうだ。
　しばらくのあいだ、風呂に入っても、トイレに入っても、「えーじーえすえす、こもじで、えっくすぜっとぶいでぃー」と唱え続けていれば、覚えることができそうだ。
　たぶん、新しい自宅の電話番号を覚えるつもりで気合を入れたら、案外、覚えてしまえるのではないだろうか。

　
　そして、このパスワードだけは、大切に使う。
　仕事用のもの、お金に関するものなどだけに、使うのだ。*2
　ゲームや信頼性が確信できないサイトなどでは、最悪、ハッキングされても被害の少ない別のパスワードを使うのである。

　この記事を読んで、なるほどと思った。
　さっそく、ひとつランダムなパスワードをつくって、いくつかのサイトのパスワードを変えることにした。
　もちろん、現在では、パスワードを管理するソフトもあるのだが、それはそれで、すべてを外部の「そいつ」に預けて大丈夫か、と一抹の不安が残る。
　が、たったひとつでいいから完璧なパスワードを覚えてしまえば、セキュリティはかなり強固になるのだ。
　
　最近、有名人のGmailのアカウントが乗っ取られたと聞いたり、知人のフェイスブックアカウントが乗ったられたりした。
　不安になって、いくつかのサービスのパスワードを変えたりして、応急処置はしていたのだが、そろそろ、本格的にパスワードを整備すべきだなと思った。

追記2014.4.19
　セキュリティに詳しい徳丸浩さんから、以下のアドバイスをいただきました。
　ランダムパスワードをつくったあと、それぞれのサイトでつかうときに、FacebookのFとかFFをどこかにけるとか（TwitterならTTとかTとか）して、サイトごとに変えたほうが良いようです。
　徳丸さん、ありがとうございます！

重要なサイトはランダムなパスワード一つを使い回すので、もう一ひねりしないと、パスワードリスト攻撃の自衛には弱いかと / “たったひとつでいいから、完璧にランダムなパスワードをつくって覚えよう！ - ICHIROYAのブログ” http://t.co/CsaQKTpiQg

— 徳丸　浩 (@ockeghem) 2014, 4月 19

@ichiro50 サイト毎に異なるパスワードになるようにする工夫があればよいと思います

— 徳丸　浩 (@ockeghem) 2014, 4月 19

@ichiro50 今問題になっている不正アクセスの多くはパスワードリスト攻撃という方法です。過去に漏えいしたログイン名とパスワードのデータが流通していて、それを使って別のサイトに攻撃がされ、被害が多発しています。このため、サイト毎に異なるパスワードをつけることが重要です

— 徳丸　浩 (@ockeghem) 2014, 4月 19

@ichiro50 独自のルールによりサイト毎にパスワードを変える方法はよいと思います。定期的に変える必要はありません

— 徳丸　浩 (@ockeghem) 2014, 4月 19

@ichiro50 あと、『科学捜査に使われる有料ソフトのひとつは28億回/秒とうたわれている』というのはオフライン攻撃の話で、Webサイトへの攻撃（オンライン攻撃）の場合はそんなに試行できないですよ。この記事等を参照してください http://t.co/dt854tVyEf

— 徳丸　浩 (@ockeghem) 2014, 4月 19