未だに無くならないパスワード。ネットショップやネットバンク、様々な会員サイトでパスワードが必要とされているなか、今もなお数多くのパスワードを管理しなければいけない時代です。
パスワード設定では、必要な文字種や文字数の指定があり、パスワードを考えるのに頭を抱える人も多いと思います。
今回は「なぜパスワード管理が重要なのか」、「もっと簡単にパスワードを生成したい」、「パスワード管理を簡単にしたい」について自分なりの考えをまとめたいと思います。
1. なぜパスワード管理が重要なのか
メールやネットショップなど様々な状況でパスワードは利用されています。会社のネットワークにもパスワードが必要ですよね、これらパスワードがなくIDだけの入力であると、例えばメールの場合、IDはメールアドレスの場合が多いので、メールアドレスさえ知っていれば当たり前ですが誰でもアクセスできてしまいます。
で、パスワードが重要となるわけですが、このパスワードも色々なサイトで使い回ししていると、Facebookやyahooでも起きた様に何処かのサイトで漏洩とか起きると、推測でこのサイトにも登録しているのではないかと大体推測できて、Twitterやインスタなんかにハッキングできてしまいます。
そうなるとメールの中身を見られたり、ネットショップで勝手に買い物されたり、最悪、個人情報やクレジットカード番号を盗まれたり、アカウントを乗っ取りされる可能性があります。
ネットバンクのようにID/パスワードの他に第二要素認証である「ワンタイムパスワード」を利用する様なところであればとりあえず安心できますが、多要素認証を利用していないサイトではID/パスワードだけのところが多く、安全ではありません。
またパスワードの文字列も複雑かつ10文字以上にしておくべきです。英単語レベルであれば、辞書攻撃といって英単語帳を元にして総当たりでパスワードをクラックする手法があります。文字数も短いと英数字記号を総当たりでクラック出来ますし、2016年時点でのスーパコンピュータレベルでは、8文字の英数字記号だと2日もあればクラックできてしまいます。今のPCでは20日くらいあればできます。
となると、やはり重要なのは「いかに複雑なパスワードを設定する」か、「別々のパスワードを設定する」か、「多要素認証できるサイトは出来るだけ利用する」となります。安全と安心を両立させるためにはこれが最低限です。
基本的には、2つ以上の要素で認証を行う方法で、パスワードの他、ワンタイムパスワードや携帯などのSMS認証、指紋などの生体認証を2つ以上使って認証する方式。
殆どのサイトでは生体認証の情報を持つことに対応していないが、入退室システムなどはICカード&パスワード&指紋認証の多要素認証に対応したものもある。
- 10文字以上で複雑なパスワードを設定する
- 各サイトには別々のパスワードを設定する
- 多要素認証対応のサイトは利用する
2. パスワードを簡単に生成する
前項で「パスワードは複雑にする」、「各サイトは別々のパスワードを設定する」と言うが、そのパスワードを考えるのがメンドくさいんだよねぇという声が空耳で聞こえてきます。
パスワード生成の基本は、大文字・小文字・数字・記号の組み合わせで生成します。
生成する方法としては、以下の通り。
- パスワードジェネレータを使う
- <文字列>+<記号>+<数字>の組み合わせで考えてみる
1は非常に簡単ですが覚えられない。どこかでパスワード管理するツールが必要となります。では2の場合どの様に考えるかですが、以下の様な方法があります。
| <文字列> | 自分の目標、生涯行ってみたい場所、出生地、親の旧姓、好きな食べ物、 ペットの名前、初恋の人の名前、、、、(最初の文字は大文字にする) |
| <記号> | @、ー、=、!、+、*、&、$、#、?くらいなら大体使えるはず。 |
| <数字> | 誕生日、現在の西暦、電話番号の下4桁、、、 |
<文字列>は、自分の名前やメールアドレスなど公開されている情報は入れてはダメです。また、aを@にしたり、1をLや!、Iなどに入れ替えるのは有効です。母音を外すと言うのも良いですね。例えば、「ヤマダ電機」であれば、「Ymddnk」みたいに。
<記号>は1つだけ入れて、何故か記号を対応していないサイトもあるので、この記号だけ外す様にすれば良いかと思います。
例えば、ブログサイトのパスワードを設定する場合、目標からこんなパスワードができます。
「このwpblogで100万円儲けるぞ!」 → 「WPblog-100man」
こんな感じでどうでしょうか。少しは気が楽になったのではないでしょうか。
3. パスワード管理を簡単にする
みなさん、どのくらいのサイトのパスワードを管理していますかね?少ない人でも数十個くらいでしょうか。
私の場合、IT管理者をしていますので300個近くのパスワード管理があり、まず覚えることは不可能なので、パスワード管理ツールである「1Password」を使って管理しています。
以前は20個まで無料とかのプランがあったのですが、最近は有料でサブスク化しています。
手帳にメモする方法が安上がりなのですが、落としたら終わりです。PCやスマホのメモ帳に保管する方法もメモにパスワードをかけていないと、ハッキングされたらこちらも終わり。
そこで安価に収めたいなら、パスワード管理ツールを使うか、パスワードをつけたExcelで管理する方法がBetter。
パスワード管理ツールのおすすめ5選(2019年9月現在)
※Pass Clipだけは少し管理方法が違いますので、詳しくはサイトをご覧ください。
Excel管理
「テキストメモで保存すれば良いのでは?」とは思われますが、もしもそのファイルが漏えいした場合は悲惨な状況になるでしょう。そうならないためにも、パスワードが保存されたファイルには、ファイル自体にパスワードをかけることが必要です。
Excelでは表化してわかりやすく整理することができますし、暗号化してパスワードをつけることができます。
Excelを持っていない場合は、パスワード付きのZip圧縮でも良いですね。この場合、解凍するのではなく、WinZipの様なファイル内を閲覧できるものが最適。
Macの場合は、ディスクユーティリティから「スパースバンドル・ディスクイメージ」を作成する方法でパスワード付きZipファイルの様なものが出来ます。
詳細は、Appleのサポートを参照してください。
「Mac で「ディスクユーティリティ」を使用してディスクイメージを作成する」
最後に重要なのは、これらのファイル名は「パスワード」とか、他人に見られて興味を引きそうな名前にしてはダメです。
- パスワード管理ツールを導入する
- Excelファイルにパスワードをかけて、パスワード管理を行う
- テキストメモに記載して、パスワード付きZIP圧縮して管理する
- macの場合は、ディスクイメージを作成してその中で管理する
いかがでしょうか。
会員情報の漏洩は、企業努力により対策をされていると思いますが、それでも人員的なミスやハッキングによって漏れる可能性はあります。
以上の様な方法を取ることで、どこかのサイトでアカウント情報が漏れても一つのサイトに留まり、自分の情報を守ることができるのではないかと思います。
4. おまけ
以上の方法でもめんどくさいという方には、最低3つだけのパスワードを管理するだけで良い方法があります。
この3つというのは、以下の様に分類分けし管理する方法です。
- 最重要なパスワード
- 重要なパスワード
- 漏れても問題のないパスワード
この3つは以下の様な考えで分類します。
| 最重要 | お金が関わるサイト、メールアカウント | 銀行、メール、クレジット会社、etc. |
| 重要 | 個人情報が含まれるサイト | ネットショップ、SNS、クラウドサービス、etc. |
| 漏れてもOK | 個人情報が含まれないサイト | 情報系サイト、ニュース、ゲーム、etc. |
メールアカウントを最重要としたのは、メールがサイトに登録したパスワードのリセットを行うのに、本人確認とするキーとなるためです。
メールアカウントの情報が漏れてしまうと、FacebookやTwitter、ネットショップの会員サイトで「パスワードを忘れた」のリンクから、たいていのサイトでリセットが簡単に行えてしまいます。
もっとも最重要には多要素認証を行うことが一番良い方法ですが、ない場合は複雑なパスワードを設定することをお勧めします。
コメント