ネットサービスを利用すればするほど増え続けるのが、パスワードです。使い回しや単純な文字列を使うなという一方で、他人に見られるようなところにメモしてはいけないといわれていますが、それならどうすればいいの?とお感じでしょう。
パスワード管理にはいくつかの基本と、「やってはいけないこと」があります。パスワード管理の重要性と基本を押さえていただいた上でそれを簡単に実現できるパスワード管理アプリのご紹介、そして最後によくあるパスワード管理方法についてアリなのかナシなのかを判定します。
パスワード管理を甘く見ると重大な被害を招く恐れがあるので、被害を防ぐためにもぜひ正しい管理方法をマスターしておきましょう。
目次
1. 増えすぎたパスワードを管理する正しい方法
2. おすすめパスワード管理アプリ 3 選
3. アリ?ナシ?よくあるパスワード管理方法を判定
4. まとめ
1. 増えすぎたパスワードを管理する正しい方法
1-1. 増え続けるパスワード情報
ログインを必要とするネットサービスの大半は、ユーザー名+パスワードという 2 つの認証情報によって本人でないユーザーが勝手にログインできないようにガードされています。
以前は 1 種類の覚えやすいパスワードを各サービスで使い回していた人が大半でしたが、現在では危険なことであるとされています。銀行の ATM で使用する暗証番号についても 1 種類の番号を複数の口座で使い回すと 1 つのカードで暗証番号を破られた際に全口座が危険に晒されるため、今では銀行ごとに違う暗証番号を設定するようにアナウンスされています。
使い回しによる被害を防ぐために、セキュリティポリシーが特に高い銀行の中には銀行側が暗証番号を発行するところもあります。
このように使い回しができないということで、利用するサービスが増えた分だけパスワードや暗証番号など重要な認証情報は増え続けることになります。
それをいかに適切に管理するかは、高度情報化社会に欠かせない防犯意識なので、これまで特にパスワードを管理してこなかったという方はこの機会に適切なパスワード管理をご検討ください。
1-2. パスワードを破られると起きること
これだけ高度に発達したネット社会では、ネット上でさまざまなことができるようになりました。それだけにパスワードが守っている対象の重要度も高くなっています。
万が一、パスワードを破られてしまうと以下のような事態が考えられます。
- ネットバンキングでの不正出金、振り込み
- クレジットカード情報の漏洩、偽造カード被害
- ポイントサイトでの不正利用
- なりすましによる Facebook や Twitter などへの書き込み
- アカウント乗っ取りによる二次的被害(LINE 乗っ取りなど)
これは一例にすぎず、これ以外にもさまざまなリスクが考えられます。
破られた後では被害を回復するのに多大な労力と負担を伴うので、やはりパスワードは破られないように管理するのが一番です。
1-3. パスワード管理でやってはいけないこと
1-3-1. 使い回し
先述のように、覚えにくいという理由で同じパスワードを複数の認証情報で使い回すのは NG です。理由は簡単で、1 つのサービスで利用しているパスワードが破られてしまった場合に被害が他のサービスにも及ぶからです。
1-3-2. 単純な文字列や推測されやすい言葉
すでにパスワード作成の基本とされていることですが、パスワードに使用する文字の種類は多ければ多いほど破られにくい強固なものとなります。
その理由はブルートフォースアタック(総当たり攻撃)と呼ばれる手口によって、文字列の組み合わせを 1 つずつ変えながら総当たりで試されてしまった場合に、組み合わせの数が少ないと破られるのに要する時間と回数が少なくなり、パスワードとして弱いものになるからです。
パスワードを破る攻撃方法については、「使い回しは絶対に NG!簡単かつ安全なパスワードの管理方法」の「2-2. パスワードを割り出す主な攻撃方法」に詳しい解説があるので、ご参考までにそちらもご覧ください。
少なくともアルファベットの大文字と小文字、そして数字を組み合わせたもの、可能であればそこに記号も組み合わせるのが理想的です。
また、推測されやすい言葉や文字列も NG です。初期設定の「0000」や「1234」のままになっているのは極めて危険で、自宅の戸締りが閂(かんぬき)しかないようなものです。
アメリカの核ミサイル発射に必要なパスワードが 20 年間にわたって、なんと「00000000」というパスワードのまま放置されていたことが報道されて大きな騒ぎになりましたが、最も強固なセキュリティを要するところですらこの状態なのですから、ぜひ身の回りのパスワードが単純な文字列のまま放置されていないかチェックしてみてください。
1-3-3. 誰もが見られる場所に記録、保管
複雑な文字列で設定したパスワードは覚えにくいので、どこかにメモをしておくことになります。いつでも見やすいように、という理由でパソコンのモニターに付箋で貼っておいたり、デスクマットの中にメモを入れておくという光景を目にすることも多いですが、これだと他人に見られる可能性が高く「玄関のカギを植木鉢の下に隠している」状態と似ています。
パソコン上であっても同様で、デスクトップに「パスワード」という名前のテキストファイルを置いている状態は、他人に見てくれと言っているようなものです。
せっかく複雑な文字列でセキュリティを高めたのであれば、保管場所にも気を配りましょう。
1-4. 今のパスワード管理に限界を感じたら
使い回しがダメで、複雑な文字列のパスワードを適切な場所に保管するといっても、どこが適切な場所なのか、どうすればパスワードを破られたくないというニーズを満たせるのでしょうか。
その答えのひとつとして、パスワード管理アプリをおすすめしたいと思います。次章では、定番となっているパスワード管理アプリを 3 つご紹介します。
2. おすすめパスワード管理アプリ 3 選
2-1. 1Password
パソコン、スマホ共通で提供されているアプリで、有料版ではパスワードだけでなく運転免許証や無線ルーター、銀行口座など生活のあらゆる認証情報を登録、管理することができます。
2016 年現在、パスワード管理アプリとしては定番とされており高いシェアを有しています。この「1password」については、「1Password と Dropbox と、たった 1 つのパスワードであなたのスマホを守る方法」でダウンロード方法や使い方について詳しく解説しています。定番のパスワード管理アプリを今すぐ導入したいという方は、そちらもご覧ください。
2-2. LastPass
マスターパスワードという「LastPass」を起動するためのパスワードだけを覚えておけば、他の膨大な数のパスワードはこのアプリが記録しており、必要に応じて呼び出せる機能を持ちます。
原則として無料で利用できますが、パソコンとスマホで同期する機能などは有料のプレミアム会員のみとなっています。しかしアプリそのものの利用は無料なので、この点では「1Password」よりもコストパフォーマンスに優れています。
⇒ LastPass 公式サイト
⇒ Android 版アプリ
⇒ iOS 版アプリ
2-3. KeePass
オープンソースとして公開されているパスワード管理ツールで、オープンソースゆえに完全無料です。マルチデバイス対応でとても便利ですが、日本語ではないための言葉の壁が若干あることと、他のアプリのような親切さはあまり期待できません。
インストールや設定にある程度の知識があるという方には、最も使い勝手がよいツールになるかも知れません。スマホアプリは少々名前が異なりますが、それぞれ同じソースから作成された系列アプリです。
⇒ KeePass 公式サイト
⇒ KeePassDroid (Android)
⇒ MiniKeePass (iOS)
3. アリ?ナシ?よくあるパスワード管理方法を判定
3-1. 頭に記憶する
最も情報漏洩のリスクが低い理想的な管理方法ですが、ネックになるのは記憶力の限界です。頭の中にしかない情報を万が一忘れてしまったら取り返しがつかないことになってしまうので、無理のない範囲で記憶をするのであればアリです。だからと言って、すぐに思い出せるような単純な文字列にするのは本末転倒です。
パスワード全体を覚えるのではなく、パスワードに特定の接頭辞を付けるようにして、その接頭辞だけはメモなどに書かずに頭の中だけ記憶しておけばパスワードの堅牢性は格段にアップします。
3-2. ノートに書き留める
現在のようにパスワード管理アプリが登場するまでは、最も多く用いられてきた管理方法です。ノートというアナログな方法なので、ネット経由で盗み見られるリスクなどとは無縁です。
ただしノートの取り扱いには注意が必要で、以下の点にさえ留意すれば実は「頭の中」を除くと最強のパスワード管理方法です。
- 書き留める文字列を間違えないようにする
- 紛らわしいアルファベットや数字などは混同しないように分かりやすく記入
- ノートの保管場所は自分しか知らない場所に
- 金庫など鍵を掛けられる場所に保管するのが理想的
3-3. エクセルで管理する
マイクロソフト社の表計算ソフト、エクセルには表を作成する機能があるので、それを利用してユーザー名とパスワードを一覧で管理している方は多いと思います。
この方法の最大の弱点は、「エクセルファイルごと盗まれたらアウト」という点です。使い回さないようにたくさんのパスワードを使い分けていたとしても、その一覧表を盗まれてしまったら逆にリスクが跳ね上がります。
それを防ぐためにユーザー名だけのファイルとパスワードだけのファイルに分けるという方法も有効ですが、エクセルでパスワード管理をするのであれば、そのエクセルファイルそのものにもパスワードを掛けておきましょう。
エクセルファイルにパスワードを設定する方法は「【3 分で解決!!】エクセルのファイルにパスワードを設定・解除する方法」で詳しく解説していますので、そちらをご参照ください。
3-4. クラウドに保存する
クラウドというオンライン上にパスワード情報を保存することにリスクをお感じの方は多いと思います。オンラインストレージなどのサービスは暗号化した上でファイルを保管しているので仮にパスワードを記録しているファイルを盗まれたとしても解読するのは困難で、そこに置いておくこと自体のリスクはそれほど高くはありません。
ただし、例えば Dropbox フォルダなどパソコン側に同期フォルダがある場合、そこにあるファイルを盗まれたり、盗み見をされる可能性は残ります。
クラウドを利用すると複数のデバイスで利用できることや、パソコンやスマホの故障や紛失という事態になってもファイルを失うことがないなどのメリットがあります。このメリットをパスワード管理に活かすには、「1Password」などのアプリに実装されているクラウド保存機能を使うのが最も安全で確実です。
3-5. セキュリティソフトのパスワード管理機能
一部の総合セキュリティソフトには、パスワード管理機能が実装されています。すでに何らかのセキュリティソフトを導入している場合は、その機能を利用するのも有効です。何せセキュリティを目的としたツールだけに、情報漏洩対策は非常に強固です。
「ノートンセキュリティ」の「ID セーフ」や「ウイルスバスター」の「パスワードマネージャー」などが有名で、これらの機能を使うと本格的なパスワード管理ツールと同等のセキュリティが確保されます。
ただし、この場合に注意したいのはセキュリティソフトのライセンス期間です。年単位でライセンスを購入している方が多いと思いますが、ライセンスを更新しなければパスワード管理機能も使えなくなるので、今後末永くそのセキュリティソフトを使う予定があるのかどうかで判断するのがよいでしょう。
画像:http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20130828063216.html
⇒ ノートン ID セーフ
⇒ ウイルスバスター パスワードマネージャー
⇒ マカフィー True Key
⇒ F-Secure KEY
⇒ ZERO スーパーセキュリティ(パスワード管理機能を実装)
4.まとめ
今やパスワード管理は「自宅の戸締り」や「貴重品の管理」と同じ、もしくはそれ以上に大切なものを守る作業と言ってもよいでしょう。それだけに適切な管理方法や効率よく管理ができるツールを知ることは安全なネットライフに欠かせないものとなっています。
セキュリティは気にしすぎるとキリがありませんが、筆者はこの記事で解説している方法を続けてきたことでこれまで被害に遭ったことはありません。
パスワードの管理に不便さや不安を少しでもお感じの場合は、できるだけ早くこの方法を実践してみてください。
