ポイントの不正利用やオンラインバンキングで預金の不正引き出しの被害ニュースが後を絶ちません。リスクをゼロにする方法は存在しませんが、管理方法ごとの弱点を知りリスクを小さくすることはできます。パスワード管理の2つの方法とパスワードを考えるヒントをお教えします。
絶対守るべき事
2要素・2段階認証の設定
MicrosoftアカウントやGoogleアカウントを初め多くのWebサービスやクラウドサービスでは、ユーザー・パスワードだけではなくSMSでの認証番号やワンタイムパスワード発生アプリ、専用の認証アプリを使った2段階あるいは2要素認証が取り入れられています。
2段階認証や2要素認証があるサービスでは面倒がらずに必ず設定してください。これにより仮にユーザー・パスワードを知っていたとしても2つ目の認証を突破できないのでサービスの悪用を避けられます。
重要な注意:
2段階認証や2要素認証のないサイトではオンラインショッピングは利用すべきではありません。もし利用するなら最低限の防衛策としてクレジットカード番号の登録は絶対にしない事。自動的に登録される場合は利用後直ちにクレジットカード番号を削除すること。
パスワードは使いまわさず複雑なものにする
この手アドバイスの中にはユーザーIDを使いまわさないというのもありますが、ユーザーID=メールアドレスのサイトが非常に多いため非現実的なアドバイスです。
しかしパスワードを使いまわさない、すなわち一つのサイトに一つのパスワードというのは確実に実行しましょう。覚えられるわけがないのでパスワードは紙媒体にメモするか、パスワード管理ソフトを使いましょう。
パスワードはパスワード生成アプリを使って、そのサイトで許されている最大の長さと複雑さにします。多くは20文字までですが中には32文字というにもありますし、ビックカメラ.comのように100文字というものもあります。文字種類は最低英大文字・英小文字・数字をランダムに混ぜます。Webサイトのパスワードポリシーで許されていれば記号も入れます。人が頭で考えると何かしらの傾向が出てくるのでパスワード生成アプリを使用します。
ユーザーIDにメールアドレスを使うサイトが多いので、メールアドレスには名前を入れてはいけません。
<ダメな例>
Yamada.Hanako@example.com
Taro1203@example.com (12月3日生まれの太郎さんだったりすると最悪)
<良い例:@より前が覚えられる程度に意味がない>
tbj1984wk@example.com
メモするか?パスワード管理ソフトを使うか?
どちらも一長一短です。
メモ:
・盗難・紛失のリスクが高く、タイムリーにバックアップを作るのが困難
・盗難・紛失したときサイトにログインできなくなる
・パスワードを変更したときにメモの書き換えを忘れがち
・サイトが増えるとパスワードメモから探すのが大変
・ネットを通じて漏洩する危険はかなり低い
パスワード管理ソフト:
・きちんとしたパスワード管理ソフトは有償である
・ランダムパスワードを簡単に生成できる
・1サイト1パスワードでいくらたくさんあっても管理がたやすい
・バックアップが取りやすい
・Windows/Mac/Android/iOS(iPadOS)でクラウド対応のマルチ対応のパスワード管理ソフトを買えば、手持ちのどのデバイスでもパスワード管理が容易
・バックアップが容易(ソフトによっては自動バックアップ)
・自分が死んだときに遺族がサイトの解約や会員削除や契約解除などができない可能性がある
自分にとって都合の良い方を選べば良いと思います。筆者はENPASSという4種のプラットフォーム全部に対応するアプリが提供されているものを、年間サブスクで使用していますが、これがなかったら1サイト1パスワードはほぼ不可能です。有名なのは1Passwordというアプリでおそらく一番ユーザーが多いと思われます。
https://1password.com/jp/
パスワードメモノート
紙媒体にするときは条件があります。
・住所や名前・電話番号などの個人を特定できる情報を記入しない
・メモは財布に入れない、クレジットカードやキャッシュカード、各種会員カードや免許証・保険証・マイナンバーカードと一緒に持たない
・紙はできればユポ紙など耐水性のものが良い
・単独でパスワードメモを持つことになるので、紛失が最大の敵である
・小さいとなくしやすいので、A5サイズ以上のものが良い
・出かけるときにもち忘れるとパスワードがわからない
パスワードメモノートの最大の敵は紛失と盗難でしょう。盗難はまだしも紛失は小さなメモノートだとカバンからものを出した時に一緒に滑り出てしまうけれど、軽くて小さいので気づかない。さらに中には所有者情報を書いていないので、取り戻すのはほとんど不可能となります。パスワードメモをなくすと片っ端からパスワード再設定作業をせねばなりません。
パスワードメモによる管理は漏洩という視点では比較的安全度が高いのは事実ですが、紛失や持ち忘れの危険はダントツで高くなりますので心しておく必要があります。百歩譲って手帳のフリーページを使ったとしても、年が変わって転記を忘れたり転記ミスがあったりする可能性も高いことをお忘れなく。
パスワードメモには直接パスワードを書かないような仕組みのものもあります。パスワードのヒントを書くだけですね。これはこれで面白いと思いました。
なるほどねぇ、です。パスワードを直接書かないのでキーとなるもの忘れないようにしないといけませんが…。サイズがB6(文庫本サイズ)で耐水紙ではないのですが、パスワードを直に書かない点では面白いです。パスワードランダム生成派には不向きです(書き写し間違いがある)。
パスワード管理ソフト
筆者がお勧めしたいのはこちら。色々なソフトがあるのでマイナーなものでなければどれでもよい思います。
ENPASSはWindows、Mac、Android、iPhone&iPadとメジャープラットフォーム全てに対応しています。パスワードファイルは暗号化してクラウドに置くことが可能で、自動バックアップの設定があります。
ローカルにしか置かないと、そのPCのディスクが飛んだときに悲劇がおきますので、筆者はクラウドを使っていますが、セキュリティ上の問題から無料で使えるコンシューマー向けのクラウドには保存していません。
パスワード管理ソフトの条件:
・各OS・デバイスに対応する(基本的には4種類全部対応)
・Google Drive(Google Workspaceを含む)、OneDrive(消費者向け)、OneDrive(法人向けのBusiness)全てに対応していること、独自のクラウドのみというのは危ない
・パスワード自動生成機能がある
・パスワード管理ソフトのパスワードをコピーしてもクリップボードにコピーされたパスワードは一定時間で自動削除される(1分と2分)
・マイナーな会社のものは避ける(いつ無くなるかわからない)
・CSVなどへエクスポートできる機能がある
・パスワードデータベースはAES256で暗号化されている
パスワード管理ソフトを使う上での注意:
・データベースにつけるパスワードは十分長く複雑にすること(自分で覚えるのはこのパスワードのみ)
・クラウド以外にもUSBメモリなどに暗号化されたままバックアップをとり大切に保管する(適合更新をお忘れなく)
・パスワードはCSVなどでEXPORTして、それをオフラインで大切に保管する(できれば暗号化ZIP)こと、これはそのソフトが使えなくなった時の回復手段。これも適宜取り直しを忘れずに、あるいは紙に印刷して大切に保管するのも良い。
自分でパスワードを考えて保管するベターな方法
サイト毎に違うパスワードを作ってメモなしで思い出せるようにするのはさほど難しくはありません。
https://www.ipa.go.jp/security/anshin/mgdayori20160803.html
[サイト情報]+[コアパスワード]+[修飾数字]
IPAのアイデアを拡張してこの組み合わせにします。サイト情報は3ないし4文字でそのサイト名などを自分なりに短くしたもの、コアパスワードはどのサイトでも変更しない英大文字・小文字・数字が入り混じった10文字以上のもの、最後の修飾数字はパスワード変更時の改訂数字みたいなものです。
<例>
・サイト情報:4文字固定:旅路クラウドサービス→tbcl
・コアパスワード:旅が大好き→tabi!GA!daisuki
(記号を混ぜるために「!」を「旅」「が」「大好き」の間に入れていますが、サイトポリシーによっては記号を許さない場合もありますので、記号は入れない方が汎用的にはなります。その場合は数字に書き換えます。(「tabi9GA8daisuki」)。
・修飾数字:基本は00で変更の都度増やしますが、これが管理できるかどうかがポイント。
サイト情報は自分は容易に覚えられるか推測できる、かつ他人には難しいものを選ぶべきです。例えばサイト名称をローマ字表記あるいは英語表記した時の、子音を頭から2文字とり、次に母音を2文字抜き取り、その4文字を自分で決めた順序で組み合わせます。
例えば「旅路の部屋」(tabijinoheya)であれば、”t”と”b”と”a”と”i”ですが、これを母音・子音・母音・子音といった自分で決めた一定順序にします。この例では「atib」がサイト情報です。これならメモらなくても覚えることができます。
メモをするとしたら、「サイトの名前(ヨドバシカメラとか)と末尾の就職数字だけにします」。
すなわち、1行に「ヨドバシ 01」といったものだけがあるので、仮に他人の手に渡っても意味不明ですが、自分には非常に意味があるものになり、パスワード変更時も対応が非常に容易です。
関連記事
https://aichanworld.com/wd/2023/01/24/post-26801/
https://aichanworld.com/wd/2019/08/22/post-8736/