はるなぴログ

ブログ・WEBサイト作成技術研究

お名前ドットコムのログインパスワードを解読困難なものに変更した話

お名前ドットコムのログインパスワードを解読困難なものに変更しました。

独自ドメインをお名前ドットコムで取得したのですが、最近セキュリティの重要性を意識させるできごとがいくつかありパスワードを変更しました。

バリュードメインのように2段階認証を取り入れだしたレジストラもあります。ドメインハイジャックを防止するためにセキュリティ強化を行いました。

f:id:hal7pi:20191117151627j:plain

お名前ドットコムのログインパスワードを変更した理由

きっかけとなったのは、お名前ドットコムからiPhoneにドメイン保護設定無効のSMSメッセージが届いたことです。こちらの過去記事をご参照ください。

www.halu7.com

結局このSMSメッセージは本物だったのですが、お名前ドットコムのドメインプロテクション料金は2019年11月現在、1ドメインあたり980円(税抜)/年となっていて個人ブロガーには結構な値段です。

いっぽうでバリュードメインではログインに2段階認証を開始しました。こちらは無料です。

www.halu7.com

ただ最近は2段階認証を騙った詐欺メールも社会問題化するようになってきています。あまりにもたくさんのメールが届くので何が本物か見分けるのは大変です。

ログインされてWhois情報を書き換えられてしまうとドメインの所有権を主張するのが非常に困難になります。ラブライブの公式サイトがハイジャックされた際にはすぐに運営会社のサンライズに所有権が戻ったようですが個人のサイトなんて誰が運営しているのか簡単に証明することはできません。ドメインハイジャックに遭ったら相当大変なことになりそうです。

このようなことから、お名前ドットコムのログインパスワードを解読困難なものに変更したという次第です。

ログインパスワードの決め方

解読困難なパスワードを付ける方法は?

まずここを考えました。いろいろなサイトを読んでみると一般的には次のようなことが言われています。

  • 単純なパスワードを避ける。12345678やpasswordなどはダメ。
  • 生年月日など個人の情報を元にしたものは避ける。
  • 英数字だけでなく記号を混ぜる
  • 英数字に意味を持たせない
  • 英文を作り単語の最初の文字をパスワードにする

まあさすがに12345678なんていうパスワードを付けることはしませんよね。 さらに生年月日を付けるのもご法度だということはかなり浸透しているのではないかと思います。

しかし記号を混ぜるというのはどうでしょうか。はるなぴは他のパスワードは混ぜていましたが、お名前ドットコムでは記号を混ぜていませんでした。

英数字に意味を持たせないというのも結構ハードルが高いと思います。そんな意味のない英数字と記号の羅列なんて到底覚えられないじゃないですか!

そこで「英文を作り単語の最初の文字をパスワードにする」というアドバイスが出てくるのですね。これは少し説明が必要かと思います。

英文を作り単語の最初の文字をパスワードにする方法

例えば次のような英文を覚えます。

What do you know about the 4th of July ?

そしてその単語の最初の文字を抜き出します。上の例だとWdykat4oJ?となります。これをパスワードにするというのです。

このパスワードだと英大文字、小文字、数字、記号のすべてが含まれています。しかも簡単には類推しにくい並びになっています。

この方法は確かに優れているようにも思えますが、やはり元の英文をちゃんと覚えていられるかどうかという点がキーポイントかと思います。

パスワードの使いまわしもダメと言われていますから、そうなると複数の英文を覚える必要がでてきてしまいます。どの英文がどのログインパスワードに対応するのか頭がごちゃごちゃになってしまいまそうです。

自分だけに分かるテーマを決める方法

例えばこんなのはどうでしょうか?

まず生まれた時の体重を使う方法。2845グラムなら2845を混ぜる。相方がいるなら聞き出して繋ぐ。こどもが2人いるなら母子手帳を見てそれを使う。例えば2415-2756。生まれた時の体重なんてブログで公開している人は少ないだろうし母子手帳ぐらいにしか書いてないんじゃないでしょうか?

次のアイデアは結婚記念日を使う。これは独身の方は無理ですが。例えば平成11年5月14日だとしたらH11m14としてパスワードに混ぜる。更に両親の結婚記念日と繋ぐとか。S32n26-H11m14。

まあパスワードの専門家ではないので話半分で読んでください。ただ言いたいのは「凡人は意味のある内容でないと覚えていられない」ということです。

それと何でもかんでも個人情報をブログやTwitterに書き込むのはよろしくないということですね。上で書いたこともブログなんかで公開していたら目を付けられそうですから。

それを考えると、母親の旧姓とか初めて行った外国とか、こどもの頃のあだ名とか、パスワードを忘れた場合のヒントになりそうなことをプロフィール欄に書くのも危険です。やれやれブログ書くと言っても結構やっかいなことがありますね!

パスワード強度を測定する方法

パスワードの強度を測定するにはこちらのサイトを利用するのが便利です。

password.kaspersky.com

注意書きに書いてあるように決して本物のパスワードを入力しないようにしてください。同じような構造のパスワードを入れてみてパスワード強度について理解するために使うものです。

はるなぴは今まで使っていたのと似たような構造のパスワードを入れてみたところ強度が弱いことが理解できたので、もっと複雑なものに変更しました。

皆さんも是非試してみて今のパスワードの強度を確認してみてください!

パスワード強度に不安があるようなら変更するのがお勧め

はるなぴは今回いろいろな出来事をきっかけにパスワード強度の高いものに変更することができました。

2段階認証をしていても詐欺メールが来るし不安はつきませんが、パスワード認証だけに頼っているセキュリティがあるなら機会を見てパスワードを変更することがお勧めです!