パスワードの条件を指定する

生成されたパスワード

パスワードを管理する方法5つ

パスワードは複雑にしておかないと、総当たりしていけば破られてしまいます。 なので、ある程度の長さを確保すること、数字や記号など文字の種類を複数混ぜておくことが必要です。 パスワードの存在意義は、自分のデータや権利を他人が勝手に使えないようにすることです。 簡単に突破されるようなパスワードを設定したら、そもそもパスワードとして意味がありません。 パスワードについては、管理方法が5つあります。 自分の好みに応じて使い分ければ良いかと思います。

1)パスワードをすべて暗記する

パスワードをすべて暗記して必要なときに思い出すことができれば、管理なんてそもそも必要ありません。 しかし、複雑なパスワードは記憶するのが難しくです。だからといって簡単なパスワードにしたら、推理や総当たりなどで破られるリスクが高くなります。 更に、複数のサービスで違うパスワードを使うことが困難になり、パスワードを使いまわすことが多くなります。 どこかのサービスが攻撃を受けてパスワードが外部に漏れてしまうと、パスワードを使いまわしているサービスすべてが危険に晒されます。

また、パスワードを定期的に変更しなければならないようなシステムでは、暗記するのが更に難しくなります。 パスワードを何度も変更していたら、現在のパスワードがどれかあやふやになって混乱するはずです。 ただ、パスワードの定期的な変更がセキュリティに資するかどうかについては賛否両論があるみたいです。 賛成の意見としては、もし仮にパスワードが流出したり攻撃を受けていたりしても、それを変更してしまえば問題がきれいさっぱり解消されるというものです。 否定の意見としては、定期的に変更する場合はある程度覚えやすいパスワードを設定してしまうことが多く、破りやすいパスワードになってしまうというものです。 どちらが正解なのかよくわかりません。

2)紙に書いておく

メモや付箋紙、ノートなどに書いて置く場合、パスワードを忘れてしまうリスクは減ります。 それに、暗記するよりもある程度複雑なパスワードを設定できるはず。一方で、別のリスクが出てきます。 まず、その紙を見られる他人がいたら、パスワードを使うことができてしまいます。 自分の部屋で誰も入れるつもりがなくても知らない間に入られてしまったり、ノートの片隅に書いておいた文字列がたまたま他人の目にはいってしまったり。。。 ソーシャルハッキングとか、ソーシャルエンジニアリングとか呼ぶのですが、パソコンではない物理的な手段でパスワードを入手されるリスクが高まります。 それから、文字を汚く書いてしまったり、メモにコーヒーをこぼしてしまったりして、紙に書いておいたパスワードが分からなるということも。 昔、ファミコンゲームでふっかつの呪文をメモっておいたのに、いざその呪文を入力してみたら冒険が始まらなくてやりなおすというようなそんな感じです。

3)自前で暗号化してファイルに保存する

ファイル暗号化ツールを使って自前でパスワードを管理するという方法もあります。 後述するパスワード管理サービスのように「私はパスワードを管理していますよ」と公言しているわけではないので、攻撃を受けるリスクは減ると思います。 しかし、自前での運用が果たしてちゃんとセキュリティを担保できているのかどうかという保証はありません。 PCにある程度詳しければ、案外良い方法かもしれません。

4)ブラウザに保存する

ブラウザにID、パスワードを入力して何かしらのサービスにログインした時、「パスワードを保存しますか?」と聞かれると思います。 あれです。コンピュータに記憶させることになるので、忘れたり紛失してしまったりするリスクは減りますし、パスワードは思いっきり複雑にしても問題ありません。 しかし、コンピュータが壊れてしまったら、保存しておいたパスワードはすべて失われてしまうため、PCのバックアップなどの対策は別途必要になります。

それから、ブラウザを使う際に注意が必要です。 ちょっと席を外したとき、スクリーンセーバーなどで画面にロックをかけておかないと、その間に他人がブラウザを使ったり、パスワードを盗み見るかもしれません。 それから、ロックのパスワードが破られるだけですべて見られてしまうので、OSの画面ロックのパスワード管理を慎重に行う必要があります。 もし「マスターパスワード」を設定できる場合は利用しましょう。マスターパスワードは、保存したパスワードを利用する際に求められるパスワードです。 犯罪者はロック画面とマスターパスワードのふたつを突破することが必要になり、攻撃が難しくなります。 ただし、ブラウザに保存したパスワードが暗号化されて厳重に管理されているのかどうかは怪しく、ここら辺からパスワードが漏れるリスクはあるかもしれません。

5)パスワード保存サービスを使って一括管理する

1Password、LastPass、PasswordBoxなど、いくつかサービスがあります。 ブラウザに保存するのではなく、専用サービスを使ってパスワードを保存するというものです。 サービスによってパスワードを保存する場所は異なり、サービスが用意したサーバだったり、自分のPCに暗号化して保存します。 ブラウザに保存するときと同じく、ランダムで強力なパスワードが設定できます。

パスワード保存サービスでも「マスターパスワード」を設定します。 マスターパスワードとは、パスワードを暗号化するためのパスワードのことです。これが漏れてしまうとアウトです。 一括管理しているデータ・サーバのセキュリティが破られてしまい、そこに保存しておいたすべてのパスワードが危険に晒されます。

あと、サービスが有料なことが多く、金銭的な負担が多少必要になります。

以前ベネッセで個人情報流出のニュースがありましたけど、データ流出の事件はもうマヒしてしまうくらいにたくさん起きてますよね。 実際に、上述したパスワード保存サービスのひとつLastPassで、データが流出する事件がありました。 肝心のパスワードデータ自体は暗号化されているため大事には至らなかったのですが、こういう事件が起きるリスクはあります。

LastPass Security Notice
https://blog.lastpass.com/2015/06/lastpass-security-notice.html/