EFFの新しい乱数ジェネレータで強力なパスフレーズを作成しましょう! このページでは、パスワード、様々なワードリスト、EFFが提案するパスフレーズ生成方法を説明します。EFFの乱数ジェネレータサイコロか、お手持ちのサイコロセットを用意して、以下の手順で作成してみてください。
こちらが国際的に著名なセキュリティテクノロジストで作家、EFF理事のブルース・シュナイアーからのメッセージです。
パスフレーズの作り方
EFFのロングワードリスト(Long Wordlist.txt)を使用したパスフレーズの生成方法について説明します。一般的なアプリケーションでは、6単語以上のパスフレーズを作成することをお薦めします。
ステップ1:5つのサイコロを一度に振ります。出た目をワードリストを見ずに書き留めてください(EFFのサイコロでは、EFFのロゴは数字の1に当たります)。
ステップ2:たとえばサイコロの出目は、左から右4、3、4、6、3のようになります。この数字を書き留めます。
ステップ3:EFFのロングワードリスト(.txt)を開き、43463の隣に書かれた対応する単語を見つけます。
ステップ4:「パノラマ(panoramic)」という単語が見つかりました。このパスフレーズが最初の単語になりますので、書き留めてください。
ステップ5:ステップ1から4をさらに5回繰り返し、合計6つの単語を書き出します。
作業が完了すると、次のようなパスフレーズが作られます。
panoramic precut smith banana handclap
(パノラマ ネクター カット済み スミス バナナ 拍手)
ステップ6:できたフレーズを、自分なりの記憶術を使って覚えましょう。覚えやすい物語やシナリオ、文章を作れば、このパスフレーズの含まれる単語の順番を思い出しやすくなります。たとえば……
このパノラマの風景は、まるであのネクターのようだ。カット済みのグラニースミス・アップルとバナナ。思わず拍手してしまった。
このパスフレーズは、この方法で選択されうる221073919720733357899776(約2の77乗)通りのうちの1つになります。このパスフレーズをブルートフォース攻撃で推測するのは極めて難しいでしょう。
パスフレーズを使う理由
「パスフレーズ」という言葉は、1つの単語からなるパスワードは、使用者を保護するにはあまりに短すぎ、より長いフレーズを使ったほうがよいというアイディアを伝えるために用いられています。長さが増すと、ランダムな単語で作ったパスフレーズであっても、その組み合わせ全体の数は飛躍的に増えます。ランダムに選ばれた単語で作られたパスフレーズは、あなたが覚えるのは簡単でも、他人が推測することは難しくなります。それがパスフレーズを推奨する理由です。EFFの乱数ジェネレータはカジノ御用達のサイコロほど精巧ではありませんが、この目的には十分なランダム性を備えていると考えています。
現在、コンピュータは10文字程度の文字列を短時間で推測できるほどの性能を十分に兼ね備えています。つまり、「nQm=8*x」や「!s7e&nUY」、「gaG5^bG」のような完全にランダムな文字列であっても、攻撃者が短時間に無制限の試行が可能な環境においては、短いパスワードは非常に脆弱なのです。オンラインアカウントの場合は、推測の速度と量が制限されるので、すべてがこれに当てはまるわけではないのですが、それ以外の場合には、この原則に従うことになるでしょう(たとえば誰かがあなたのデバイスを手に入れ、暗号化パスワードを解除しようする、など)。
パスフレーズを使う場所
パスフレーズは、ラップトップやモバイルデバイスのフルディスク暗号化など、情報の暗号化に直接使用するケースに特に適しています。可能性を多くすることで、あなたのデバイスを入手して暗号化クラッキングハードウェアを使用しても、クラックを極めて難しくします。その他の使い方としては、暗号鍵(PGPやSSHキーなど)のパスフレーズ、特にパスワードマネージャーアプリケーションのロック解除に用いることをお薦めします。
重要なことは、パスフレーズは1つの用途にのみ使用しなければならないということです。複数のオンラインアカウントで使いまわしてはなりません。パスワードデータベースやウェブサイトはしばしば攻撃を受けています。パスワードを使いまわしていると、情報漏えい等によりリークされてしまった場合、他のアカウントにアクセスされてしまうおそれがあります。
別のワードリストに関する注意点
ここで紹介したEFFの新しいロングワードリストは、記憶のしやすさとパスフレーズの強度を考慮して設計されています。私たちのロングワードリスト(あるいは同サイズの別のリスト)から少なくとも6単語を選ぶことを推奨しています。使用する単語数が増えるほど、パスフレーズの強度はましていきます。別のワードリストを使用すると、記憶のしやすさが異なる場合がありますが、同程度の長さのリストであれば、パスフレーズの強度に大きな違いはありません。
私たちのショートワードリスト(1296単語で構成される)を使う場合は、1度に4つのサイコロを使用します。上記のパスフレーズ生成手順に従って作成できますが、サイコロは5つではなく4つになります。ショートワードリストで作成されたパスフレーズは、覚えやすくタイピングも容易ですが、単語あたりの強度は弱くなります。
EFFのロングワードリスト(.txt):サイコロ5つで使用
EFFのショートワードリスト#1(.txt):短い単語のみ、サイコロ4つで使用
EFFのショートワードリスト#2(.txt):記憶しやすい長い単語が含まれる、サイコロ4つで使用
EFFのワードリストを制作したジョセフ・ボノーは、パスフレーズのセキュリティと、EFFワードリストを制作するにあたっての方法論と基準について深く掘り下げています。また、アーノルド・G・ラインホルドのDicewareワードリストを使用しても良いでしょう。これは、サイコロを使ったパスフレーズ生成の元祖で、非常に人気のリストです。
次のステップは?
パスワードマネージャについて学びましょう! パスワードマネージャは、パスワードやパスフレーズの使い回しの誘惑を避けるための素晴らしいツールです。先程作った長く、ランダムなパスフレーズは、コンピュータに記録したログイン情報全体のデータベース(訳註:パスワードマネージャ)を保護するために使うことができます。つまり、すべてのパスフレーズを覚えておく必要はないのです。そうすれば、すべてのオンラインアカウントに異なるパスワードを設定しやすくなり、セキュリティは強力になります。この詳細については、EFFのSurveillance Self-Defense(監視への自己防衛)ガイドのパスワードマネージャ概要を御覧ください!
パスワード保管庫を守るパスフレーズは、いまや最重要のキーとなります! このパスフレーズを忘れることも深刻なリスクであり、思い出せなければ、すべてのデータに永久にアクセスできなくなる可能性もあります。そのため、パスフレーズを覚えたてのときや、毎日使うわけではない場合は、パスフレーズを書き留めておきたいという人もいるでしょう。ただ、その際には、メモは安全な場所に保管しておかなくてはなりません。保護すべきデータの保管庫と同じ場所においてはいけません。どこが安全な場所かは、あなたの置かれている状況に大きく依存します。パスフレーズの筆跡が残らないよう、1枚の硬い厚紙に書き込むことをお薦めします。
EFF Dice-Generated Passphrases | Electronic Frontier Foundation
Translation: heatwave_p2p