失敗しない、覚えやすく安全な暗証番号(PIN)の作り方

スマートフォン、銀行のATM、クレジットカードなど数字4・6桁の暗証番号は、普段の生活の中で最もよく使うパスワードではないでしょうか。あまりにもよく使うので、そのパスワードの強さについて深く考えることはないかもしれません。

 

しかし、最近はオンラインバンクの不正使用やアカウントからの個人情報流出など、パスワードの管理がしっかりしていないために被害にあってしまうことが増えてきています。それと同じようにパスワード忘れも爆発的に増えています。

 

どうすれば、推測されにくい安全で覚えやすいパスワードが作れるのでしょうか？

 

難しい問題ですが、少しの工夫でだれにでも解決できる問題です。アルファベットの小文字・大文字、数字、特殊文字を含むパスワードの作り方は、「覚えやすく安全なパスワードの作り方」で詳しく解説していますので、そちらの記事を参照ください。

 

この記事は、それ以外の数字だけで作るパスワード＝暗証番号・PINだけに焦点をしぼって解説していきます。

 

内容は、大きく次の2つの項目分けています。

 

1. 避けるべきパスワード
2. 1をふまえた、数字の選び方

 

とりあえず最低限の法則だけという方は、1番を読んでください。それだけでも十分に安全性をあげられると思います。そのうえで、より詳しく知りたい方は、2番を読みすすめてください。

 

１．避けるべきパスワード

安全で推測されづらいパスワードを作る最初のステップは、多くの人が使いがちなパスワードを使わないことです。

 

これについては、インターネットに流出した3万件以上のパスワードを分析したニック・ベリー氏 (Nick Berry)のサイトが参考になります。

 

ベリー氏によると、次の３つが最もよく使われていた4桁のパスワードです。

 

1. 1234
2. 1111
3. 0000

 

正直こんなパスワードを使う人がいる？とおどろきました。

 

さらに衝撃的なのが、この３つのパスワードが、全体の18%以上を占めていたことです。別の言い方をすれば、3回のトライで、ランダムに選ばれた100人のパスワードうち18人分を推測できるということです。

 

おそろしいですね。

 

ちなみに、4桁の数字のパスワードは、0000から9999の1万通りの組み合わせがあります。どの組み合わせも同じ確率であれば、上記の3つが占める割合はたったの0.03%です。解析では、18%だったので通常の600倍の確率で使われたということです。

 

よく使われていたパスワードのトップ20は次のような特徴がありました。

 

1. ゾロ目(1111、 2222、 3333、 … 9999)
2. 連番(1234、 4321、 2345など)
3. 切りの良い数字(1000、2000、3000、.. 9000)
4. ２数の組み合わせ(1212、 1010、1122など)

 

あなたのパスワードが上記4つのパターンに当てはまる場合、20回のトライでパスワードが推測されてしまう確率は1/4にもなります。

 

なにがあってもこれら数字の組み合わせを暗証番号に使うのは避けてください。

 

避けるべきパスワードのパターンが分かったところで、具体的にどのように数字を選べばよいのかをみていきましょう。

 

２．覚えやすいパスワードを作る

数字だけのパスワードは、アルファベットを使ったパスワードと違い、推測されにくさよりも入力のしやすさと覚えやすさに重点がおかれています。とはいえ、10回程度のトライで推測されるようなパスワードでは困るのは明らかです。

 

人によっては覚えやすいパスワードが、たまたま避けるべきパスワード以外の方もいると思います。その場合は、複雑に考えずにそのパスワードを使うべきです。しかし、それ以外の方には、2つの方法を提案したいと思います。

 

1. 好きな文章を数字化する
2. 覚えやすい数字を一定のルールで変換する

 

好きな文章を数字化する

まず自分が覚えやすい・好きな文章を作ります。ちなみにこの方法は、冒頭でもふれた「覚えやすく安全なパスワードの作り方」の内容と一部重複します。

 

文章は英語のほうが単語ごとの分かれ目がはっきりしているので、頭文字をとるという次のステップがわかりやすいです。また、英語は場所や日時を後で加えやすいので、パスワードの桁を変えることが可能という利点もあります。しかし、英語では文章がワンパターン化してしまう可能性もあるため、日本語の文章も参考にあげています。

 

日本語でも英語でも、記憶違いを防ぐために文章は単純であればあるほどよいです。英語が苦手な人は自分で作らずに、好きな映画や本のタイトル、劇のセリフでもかまいません。物理の法則も使えます。

 

例えば、次のような文章などを考えて、単語の頭文字(イニシャル)を取ります。日本語の場合は、単語を名詞のみにし、単語をローマ字化して頭文字をとってください。

 

自由作文系

私の夢は、東京で寿司職人になることです。

=>私、夢、東京、寿司職人

=>WYTS

 

映画・喜劇系

I’ll be back (ターミネーター)　=>IWBB

Force be with you (スターウォーズ)　=>FBWY

Much Ado About Nothing (から騒ぎ、シェイクスピア)　=>MAAN

 

サイエンス系

E = mc2(アインシュタインの質量とエネルギーの等価性)

=>E is equal to mc2

=> EIETMC

 

次にアルファベットを数字化します。アルファベットは26文字あるので、何番目の文字であるかを調べて、その1の位の数字に置きかえます。

 

上記の例文は次の数字に置きかえられます。

 

WYTS　=>23・25・20・19　=>3509

IWBB　=>9・3・2・2　=>9322

FBWY　=>6・2・23・25　=>6235

MAAN　=>13・1・1・14　=>3114

EIETMC　=>5・9・5・20・13・3　=>595033

 

普段から何度も繰り返し使う暗証番号の場合は数字を自然と覚えると思いますが、それ以外の暗証番号は数字は忘れて文章を覚えておけばよいので簡単です。この方法は、アルファベットを数字に置きかえる手間はありますが、日付、住所、電話番号なと違い個人情報からは推測されない番号が作ることが可能です。4桁だけでなく6桁や8桁の暗証番号が必要になれば、文章を少し肉付けしてください。

 

手動でローマ字を数字変換するのは面倒なので、自動で変換するプログラムを作成しました。使い方は、変換したい半角アルファベット、または文章を入力して、変換ボタンを押すだけです。

数字、全角文字、特殊文字が入っていると変換されないので、注意してください。

変換

入力されたアルファベットは： 変換された暗証番号は：

もし、このプログラムを使うことさえ面倒な方は、さらに簡単な次の方法もあります。

 

覚えやすい数字を一定のルールで変換する

パスワードの基本的なルールとして、自分や家族の誕生日などは使わないというものがあります。しかし、現実的には覚えやすさを優先して、使ってしまっている方も多いと思います。

 

そこで、覚えやすさはそのままに、少しでも強い(推測されにくい)数字に変える方法を考えました。

 

やり方はとっても簡単で、小学生でもできます。

 

まず、1から9の数字で好きな数字をえらび、次のルールに沿って元となる覚えやすい数字を1つづつ変換していくというものです。

 

1. 各桁の数字に選択した数字を加える(引き算でもよい)。
2. 足し算で、合計が10以上になった場合は、10の位を無視して、1の位だけを考える。
3. 引き算の場合、合計がマイナスになった場合は、マイナス符号を無視する
4. 同じく引き算で0から引く場合は、0を10として扱う

 

文章だけでは分かりづらいので、このルールに従って実際のパスワードを変換してみましょう。例で使うのは、令和元年の初日である5月1日(0501)、変換用の数字はラッキーセブン(7)とします。

 

足し算の場合

1桁目：0 + 7 = 7

2桁目：5 + 7 =12 =>2( 12の1の位が2)

3桁目：0 + 7 = 7

4桁目：1 + 7 = 8

 

引き算の場合

1桁目：10 – 7 = -3 =>3 (0なので10として計算)

2桁目：5 – 7 =-2 => 2

3桁目：10 – 7 = -3 =>3

4桁目：1 – 7 = -6=>6

 

以上の計算から、パスワードはそれぞれ次の表のようになります。

 

元の数字	足し算変換	引き算変換
0501	7278	3236

 

数字をみると変換したあとの数字は、元の数字とは似ても似つかない数字になっているのがわかると思います。変換は、単純な1桁の足し算・引き算なので、アルファベットの数字変換より早く暗算ができると思います。また、変換のために選んだ数字が知られてしまわない限り、元のパスワードから最終的なパスワードが推測される可能性も低いでしょう。

 

まとめ

この記事では、スマートフォン、銀行のATM、クレジットカードなどでよく使われる数字のみのパスワード(PIN)の作り方について解説しました。

 

まず、多くの人が使いがちな数字の組み合わせのパターンの暗証番号を避けることが重要です。4桁の暗証番号には、わずか1万通りの組み合わせしかありません。それでもとりあえず大きな問題が起きていない理由は、許される失敗回数が限られているからです。例えば、キャッシュカードならば失敗は3回程度というのが多いです。ですから、絶対推測されないような強いパスワードを作るというよりも、3回と少しのトライで推測されるリスクをさげればよいわけです。例で上げたパターンを繰り返しよんでみてください。

 

また、多くの人が使う1234のような番号を避けたとしても、自分の個人情報からすぐに推測されるような番号を使っては意味がありません。確実に、この落とし穴を避けるには、好きな文章を数字化する方法か、推測されにくい数字に変換する方法を試してください。初めは面倒に感じると方もいるかもしれませんが、なれれば楽勝です。

 

新しい暗証番号をつくるとき、または変更する機会があれば、ぜひこの記事を参考にパスワードをつくってみてください。