これって意外に知られてないと思うんですよね。

たまにサイトでアカウントを作る時に「パスワードは英数字＋記号の組み合わせで入力してください」って言われません？そのたびに「ああ、めんどくせえ」ってなると思うんですけど、これ実はめちゃくちゃ大事だったりします。

なんでこんなめんどくさいパスワードにしなきゃならないのか？

それはプログラムがサイトを攻撃する時、辞書攻撃というやり方で攻撃してるからです。

複数の単語を組み合わせて何度もログインを試みて、ログインを突破します。だから、単純な単語の組み合わせのパスワードはハッカーの良いカモになる。

たとえば「hihara1986」というパスワードを、hiharaという名前のアカウントが使ってたとします。これは「アカウント名＋年号」なのでアカウント名さえ知れてしまえば、進入できちゃう。

アカウント名が公開情報のサービスは結構あるので、アカウント名を収集した後に、年号との組み合わせで何度もログイン攻撃すればOKです。

WordPressでもこれは同じで、アカウント名と単純な数字の組み合わせをパスワードにしてるパターンを良く見ます。

WordPressでは著者情報のURLにアカウント名を使ってるパターンが多いです。だから、アカウント名はいとも簡単に取得できてしまいます。あとはそのアカウント名と数字の組み合わせで攻撃すれば...。

秒速でログインできちゃうんです。そしてそのアカウントが管理者アカウントだったら...。記事も消し放題、ユーザーも削除し放題です。
怖いですね〜。だから「プログラムが攻撃しづらい複雑なパスワードにしよう！」ってことなんです。

プログラムが攻撃しづらいパスワードとは？

それは法則性のない文字列の羅列です。
「@!BUrC.Yx2」みたいなやつ。（パスワードジェネレータで作りました）
これは辞書攻撃がしづらいのはわかりますね？なんでかというと辞書にこんな単語載ってないですから（笑

これを紐解いていくと、「大文字小文字×英数字＋記号」の組み合わせで成り立っています。別に「qycczwoanp」みたいなランダムな英字だけでも良いんですが、英字だけだと突破される確率が高くなっちゃうので、数字やら大文字小文字、記号なんかを組み合わせています。

ただこういうパスワードには問題があります。それは「覚えにくい」こと。一つや二つのサイトのパスワードを管理するなら良いですが、100サイトだと非現実的です。

快適なパスワード管理ツール1Password

なので、最近はこういうパスワードを管理するためのパスワード管理ツールというのが流行っています。個人的なオススメは1Passwordというツール。

こんなやつです。1Passwordは基本無料（複数デバイスで同期させる場合は有料）で使えて、パスワードの入力も劇的に速くなるのでぜひ使ってみてください。

それでは単純なパスワードの使用は気をつけてくださいー。