こんにちは、あのぶるです。

パスワードの管理、どうしてますか?
サービス提供者としては神経を尖らせるものの、いざ自分のこととなると適当にしがちなパスワード管理。便利さを保ちつつセキュリティを守るために一度見直してみませんか?

きっかけは一通のメールでした。

※破棄済みなので、記憶による要約

君、******(パスワードの文字列)っていうパスワード使ってるでしょ?
○○(サービス名)とか、××(サービス名)とか、使ってるよね?
アカウントに使っているメールアドレスもこれなんでしょ?
もしこのパスワードで”イタズラ”されたくなかったら、ここにお金を振り込んでよ!
(送金先)

書かれた文字列は確かにパスワードとして使っていましたが、だいぶ前に流出被害に遭ったときのもので”そのような場”で公開されていることも知っていましたし、もちろんとっくの昔に変更も済ませています。ですからこのメールで何を言われようと痛くもかゆくもありません。もちろん”イタズラ”を回避するためにお金を振り込んだりもしていません。(仮に振り込んだところで既に公開されてしまっている情報なので、「自分はカモである」と相手に伝えるだけで状態が好転することはありません。絶対に振り込まないようにしましょう)

ただ、このメールで私の心に火が付きました。
これを機に移行作業を面倒がりツールの目星もつけておらずで後回しにしていたパスワード管理ツールの本格的な導入計画を実行に移しました。サービスに登録して各端末に専用アプリをインストールし、移行を完了させたのが先月のこと。あとはアカウントの存在を思い出したサービスをその都度追加しながら便利に運用しています。

まずよく言われることですが、パスワードは設定可能な範囲でなるべく長く複雑なものを使用し、各サービスに1つずつ異なるパスワードを用意するようにしましょう。現状、ランダムな英数字であれば16字程度で十分な強度と見なされるようです。ただし、コンピュータの性能が上がればその分パスワードも簡単に解析できるようになってしまうため、長期的に考えると十分なセキュリティを担保するために必要な文字数はもっと増えていきます。実際、10年ほど前であれば8字以上が目安とされていましたが、現在ではランダムな英数字を選んでも8字では1時間程度で破られてしまうそうで、たった10年の間にパスワードに求められる複雑度が格段に上がっていることが分かります。個人的な感覚としては可能な限り20字は使いたいところかなと思っています。

Security.org
How Secure Is My Password? | Password Strength Checker
Data breaches and identity theft are on the rise, and the cause is often compromised passwords. After stealing credentials, cybercriminals can use passwords to

このようなパスワードの強度チェックツールを試してみると、短かったり推測しやすいパスワードがいかに危険であるかを実感することが出来ると思います。

※パスワードの保存はされないはずですが、このようなサービスに実際に利用しているパスワードを入力しないようにくれぐれもご注意ください!
パスワード生成ツールで作ったランダムな文字列を使うなど、文字数・文字種によるパスワード強度の変化を知るために利用してください。

もちろん2要素認証が可能なサービスであればぜひ利用することをお勧めします。ただこれに関してはサービス側で提供していなければ利用しようがないため、まずは常に十分な強度のパスワードを設定するようにしましょう。

また、サービスごとに異なるパスワードを設定することは、流出による被害を拡大させないためにとても大事です。冒頭で述べた通り、あるサービスで流出したパスワードは他の情報と一緒にして悪意のあるコミュニティで共有されてしまうことが多いです。そのようなコミュニティの人たちが情報を手に入れて何をするかというと、典型的な例の一つとして流出したパスワードと他の情報(主にメールアドレス)を使って他の有名なサービスへログインを試みるのです。そこでパスワードを使いまわしてしまっている場合は当然ログインに成功しますので、例えば勝手に買い物をされたり、最悪アカウントを乗っ取られてしまうことに繋がります。当然サービス提供者側も極力そのようなことが起こらないように対策を講じているはずですが、サービスごとにパスワードを変えることはユーザ側の基本的なセキュリティ対策と言えます。

そんな複雑なパスワードをサービスごとに覚えるのはとても大変なので、ぜひ導入したいのがパスワード管理ツールです。これはざっくり言うとそのツールにパスワードを保管しておき、「マスターパスワード」等と呼ばれるパスワードを一つ設定し覚えておくだけで、各サービスのログイン画面でパスワードの入力補完をしてくれるものです。2要素認証に対応していたり、パスワードを保存している各サービスでアカウント情報の流出が起きた場合にもパスワードを変更するように促してくれる便利なツールもあります。
ちなみに筆者の例で言うと執筆時点で管理ツールに登録しているアカウントが軽く100を超えていて、これらを手作業で管理するのはかなり無理があるなぁとしみじみ感じています。

たくさんのサービスのパスワードを1つのツールで管理するということは、万が一そのパスワード管理ツールのセキュリティが破られてしまったら大変なことになります。ですからパスワード管理ツールは月額料金を払ってでも信頼できるサービスを使うことが特に大事です。とりあえず有名どころを使えばいいというものでもありませんが、定番ツールには定番たる実績が存在するものです。よく調べて自分に合ったサービスを見つけてほしいなと思います。

冒頭のような脅しメールに屈しないためにも、パスワードはしっかり管理していきましょうね!

The following two tabs change content below.
Twitter のプロフィール

あのぶる

Software Engineer
杜の都で育ち、赤べこの街でコンピュータのいろはを学んだソフトウェアエンジニア。今はスマホゲームのためのWebAPIを作るお仕事をしています。最近はすっかりガルパンおじさん化。