長さが最も重要
パスワードの強度に最も大きく影響するのは長さです。1文字増えるごとに可能な組み合わせが文字集合の大きさだけ掛け算されるため、強度は指数的に増加します。
オンラインアカウントには最低12文字、メールや金融など重要なアカウントには16文字以上をおすすめします。長さが十分なら、特殊文字を少し減らしても安全です。
文字の種類を混ぜる
大文字・小文字・数字・記号を組み合わせて使うと、同じ長さでも文字プールが大きくなり、エントロピーが上がります。
- 大文字 A–Z、小文字 a–z
- 数字 0–9
- 記号 ! @ # $ % ^ & *
- 手で書き写す必要があるなら 0/O、1/l/I のような紛らわしい文字を除外
サイトごとに違うパスワードを
一か所でパスワードが漏れると、攻撃者は同じ組み合わせを他のサイトで試します(クレデンシャルスタッフィング)。サイトごとにまったく異なるパスワードを使うことが最も効果的な防御です。
数十個ものユニークなパスワードを覚えるのは不可能なので、パスワードマネージャーを併用することをおすすめします。
避けるべきこと
次のものは推測・解読に弱いため避けるべきです。
- 辞書にある単語1つ、名前、誕生日などの個人情報
- password、123456、qwerty のようなよくある値
- asdf、1q2w3e のようなキーボードの隣接パターン
- 以前のパスワードの末尾の数字だけ変えて使い回すこと