「甘いのはわかってるけど、メモに残してる…」
「使い回しはダメって聞くけど、多すぎて管理しきれない…」
パスワードなど重要な個人情報は、メモなどの形に残る方法で保管しないのが理想です。
そうは言っても、頭の中にすべて記憶するのは不可能です。銀行の暗証番号くらいなら覚えられるかもしれませんが。
しかし、暗証番号くらい簡単で覚えやすいパスワードは、他人から推測されやすいというリスクがあります。
そうした事情を踏まえて、どうしたらパスワードを安全に管理・運用していけるのでしょうか?
まずは、安全なパスワード作成の考え方を知ること。
そして、パスワード管理ソフトを導入することです。
この記事では、「安全なパスワード管理とは?」ということを、あらためて基本的なことから整理しなおして、具体的な対策まで、わかりやすく解説していきます。
ぜひこれから説明する、「少ない労力で、安全に運用できる」方法を取り入れてみてください。
パスワード管理は、どうすればいい?
安全なパスワード管理とは、どういうものでしょうか?
まず、大きな方向性として、危険にさらされる確率を低くすることです。
そのためにできる対策を確認しましょう。
1. 安全なパスワードを作ること
2. 安全な方法で保管・運用すること
次の章から順番に説明していきますが、対策としてはとても基本的なことです。
ここで少し視点を広げて、セキュリティ対策全体の考え方に触れてみましょう。
通常、個人で行うセキュリティ対策は、どういったものでしょうか?
それは「不特定多数」に対して、「単純な仕掛け」をばらまくような攻撃への備えです。
最近では、フィッシングメールやフィッシングサイトでの情報漏洩の被害がよくあるようです。
そのような被害への対策は、防波堤のような安全の仕組みを作っておくことです。
ただし、自分で用意できる防波堤の高さは、最適なものにしておきましょう。あまり想定を大きくしすぎると、対策自体を見誤ります。
例えば、あなた個人を明確に狙ったハッキング行為などを想定すると、その確率はかなり低く、もし起こってしまった場合には、対策のしようがありません。
現実的な対策をする意味がないとは言いませんが、想定としてはイレギュラーなのです。
こう考えれば、セキュリティ対策がもっと明確になってきます。
この記事でお話することは、最適な防波堤の作り方についてなのです。
また補足として、リスクの高い管理方法についても後半で触れています。
以上のことを理解すれば、パスワードの安全性が大きく高まるような内容になっています。
それでは、各項目について確認していきましょう。
1. 安全なパスワード作成の考え方
安全なパスワードは、どういったものでしょうか?
それは、第三者から簡単に推測されないことです。
ただし、そのために知らない第三者のことを想像しても、実りはないので、以下のようなルールを決めておきます。
異なる文字種(大文字、小文字、数字、記号)を混ぜる
長い文字列(12文字以上)にする
意味のある単語を避ける
直感的に分かるかもしれませんが、どういうことか、ちょっと見ていきましょう。
パスワードを複雑にする効果
1. 異なる文字種で、長い文字列のパスワードを作る
複雑で長いパスワードは、総当たり攻撃に強くなります。
パスワードを解析する攻撃者は、考えられる文字の組み合わせを片っ端から試します。
「abc123」のような単純なパスワードなら、数秒~数分で突破される可能性があります。
大文字・小文字・数字・記号を混ぜて長くすると、組み合わせが爆発的に増え、突破に膨大な時間がかかります。
6文字・アルファベット小文字だけ:約3億通り(コンピュータなら一瞬)
12文字・アルファベット大文字小文字+数字+記号:約70垓通り(現実的に解読不可能)
2. 意味のある単語を避ける
この対策にも意味はあります。
攻撃者は、よく使われる単語やフレーズをまとめた「辞書リスト」を使って総当たりします。
「password」「qwerty」「12345678」などは一瞬で破られます。
無意味な文字列や、辞書に載らないランダム性を持たせることで安全性が高まるのです。
攻撃を受けることってあるの?
この記事の前置きで話した通り、個人を標的にした攻撃は、攻撃者にとっても効率が悪いので、あまり想定されません。
実際には、企業やサービスそのものが攻撃の標的になります。
サービス側の保有する個人データが流出する事件は、時々ニュースで見かけるように、全く無い話ではありません。さらに、これは個人で対策することができないものです。
ただし、流出したからといって、すぐにログイン情報がそのまま盗まれるわけではありません。
通常、企業側はセキュリティの観点から、パスワードをそのまま保存しているのではなく、ハッシュ化と呼ばれる一方向の変換を行ったデータを保存しています。
この仕組みにより、たとえデータベースが流出しても、攻撃者が手にできるのは「ハッシュ値」という変換後の文字列だけです。
しかし、短く単純なパスワードの場合は、総当たりや辞書攻撃によって元のパスワードを突き止められてしまう可能性があります。
そういう事情で、長くて複雑なパスワードを設定することが、現実的で効果的な防御策になるのです。
これが企業攻撃に対する、サービス利用者側ができる、現実的な対策です。
ハッシュ値とは、パスワードを特殊な数式で変換した結果の文字列のことです。
イメージとしては「暗号化」に似ていますが、大きな違いはハッシュ値から元の文字を復元することはできない点にあります。
また、同じ入力なら必ず同じ結果が得られるという特徴もあります。
一般的にセキュリティの観点から、サービス側は実際のパスワードを保持せず、このハッシュ値を保存して照合に利用しています。
複雑なパスワードを作るのは大変では?
では、複雑なパスワードはどう作るのか?
キーボードを適当に叩いてできた文字列は、意味のある覚えやすいパスワードよりは、有望かもしれません。
ただし、もっと有望なのは、プログラムにやってもらうことです。毎回手動で、ランダムっぽくやるのは大変ですしね。
基本的には、次で解説するパスワード管理ソフトの、自動生成機能を活用するのが楽です。
ランダムで強力な文字列を一瞬で作れますし、ついでに保存もしてくれます。管理ソフトを導入すれば、多くの場面で活用することになります。
もう一つの方法は、パスワード生成サイトを利用することです。
パスワード生成サイトでは、「文字数」「数字・記号を含めるか」など、細かい指定が一つの画面で設定できるので、管理ソフトを使っていても、利用することがあります。
また、一部のサービスでは、入力フォームが特殊な仕様になっていて、管理ソフトの自動入力や自動生成がうまく動作しないことがあります。そういう場面で併用したりもします。
以下は、パスワード管理ソフト「1Password」公式サイトにあるパスワードジェネレータです。
自動生成を使ったことがなければ、まずは体験してみてください。
https://1password.com/jp/password-generator
2. 安全な管理方法|パスワード管理ソフトを活用する
パスワード管理ソフトを使う理由は、何でしょうか?
以下の、大きく2つの観点で話を進めていきましょう。
パスワード管理ソフトを使う利点は、「保管するとき」と「使用するとき」、どちらの場面でも安全性を高める仕組みが作られていることです。
これも、その有効性を順番に確認していきましょう。
2-1. 保管場所として安全性の高さ
原則的に、パスワードは第三者の目に触れる場所には置くべきではありません。
しかし現実的には、パスワードの漏洩はデータ流出のような大きな事件だけでなく、カフェや職場のような身近な場所で「覗き見」されて盗まれるケースも、意外と多いのです。
また、保管に関しても、管理が煩雑になるという問題もあります。
ネットのサービスを多く使っている場合、ログイン情報が増えすぎて、参照するだけで手間が掛かってしまいます。
また、管理方法に関して、メモアプリに残していて、不安や引っ掛かりを感じている方も多いと思います。
管理ソフトは厳重な金庫
パスワード管理ソフトは、「金庫」としての役割と、加えて「情報の整理」としての役割も果たします。
ここでは、金庫としての機能性に注目してみましょう。
ユーザーはまず、管理画面にアクセスするための鍵を1つ設定します。
これを、マスターパスワードといいます。ユーザーが、保管したログイン情報にアクセスするために使用する、唯一のパスワードになります。
保管されたパスワードは、強力な暗号化によって守られていて、マスターパスワードがなければ見ることができません。
管理ソフトのサービス提供者側であっても例外ではなく、その中身を直接見ることはできません。
さらにセキュリティを高める仕組みとして、新しいデバイスで初めて管理ソフトを開こうとするときには、マスターパスワードに加えて、追加のキー情報を求められます。
これにより、例えマスターパスワードを知った第三者がいたとしても、本人がログインした端末以外では、パスワード情報にアクセスすることができません。
2-2. 安全な方法で使用する
前項で、パスワードの作り方が、企業攻撃のような個人では対策できない事象に対する、備えになるという話でした。
それに加えて、フィッシングメールなどのような、「不特定多数」に対して「単純な仕掛け」をばらまくような攻撃への対策も必要です。
パスワード管理ソフトに備わっている、以下の2つの機能に沿って、その効果を確認していきましょう。
自動入力機能で安全にログインする
パスワード管理ソフトには、自動入力機能が備わっています。
画面によって操作方法は変わりますが、IDやパスワードの入力窓をクリックすると、そのサイトに紐付いたログイン情報を自動で入力する機能です。PCでは、主にブラウザの拡張機能で、この機能を使用します。
ログイン情報の保存についても、自動で保存する機能が働きます。
その際に、「ID」「パスワード」「URL」をセットで覚えます。
上の画像では、以下のものを、ひとつのログイン情報として保存しています。
ID:〇〇〇@〇〇.com
PW:***************
URL:dropbox.com
この場合、「dropbox.com」というURLを含むサイトでのみ、上記のIDとPWを自動入力します。
例えば、「dropbox-service.net」のような偽サイトがあったとして、フィッシングメールによって誘導された場合でも、自動入力されないので偽物と判断するための気付きになります。
また、自分で文字を打ち込んだり、コピー&ペーストする必要がないため、誰かに覗き見されるリスクもなくなります。
自動入力されることにより、根本的に、複雑で長いパスワードの作成・入力のストレスから開放されます。
それだけでも管理のしやすさが、ぐっと上がります。
リスク評価機能で弱点を見つける
多くのパスワード管理ソフトには、リスク評価機能があります。
これは、保存されているパスワードを自動でチェックし、「使い回しがないか」「セキュリティが弱くなっていないか」を評価してくれるものです。
一定の評価基準で、自分では気づかない弱点を見つけられるため、メンテナンスのきっかけになります。
定期的に確認することで、パスワード管理の質を自然と高めていくことができます。
*画像は1PasswrodのWatchtowerという機能です。
パスワード管理ツールについては、無料で使えるものがあるので、まずは使い始めてみることをオススメします。
ただし、PCとスマホで連携して使用することを考えると、デバイスやブラウザに依存しないツールが望ましいです。
その中でも、1Passwordは使いやすさと性能面から見ても、現状最もオススメするツールになります。
導入の仕方や、コストを抑えて購入する方法など、解説していますので、参考にしてみてください。
3. リスクの高い管理方法を見直そう
ここまでは、パスワード管理について、現状の環境でできる最善の方法について確認してきました。
そこで、あらためて、避けるべき管理方法について挙げていきます。
思い当たるものがある場合、安全な方法に移行することをオススメします。
- 紙に書いて持ち歩く
-
ノートや付箋にパスワードを書き残すのは、落としたり盗み見られたりするリスクが大きい方法です。
覗き見による被害が、意外に多いことからも、避けるべき管理方法です。
紙に残す場合、金庫で保管するくらいの厳重さが必要です。 - Excelやメモアプリに一覧保存
-
PCにパスワード一覧を保存するのも危険です。
パソコンがウイルスに感染したり、不正アクセスされた場合、そのファイルごと盗まれてしまうリスクがあります。
個人のPCのデータが盗まれるのは、かなり不測の事態ですが、暗号化されていないファイルに残しておくのは、やはり不安な方法です。 - 複数サービスで同じパスワードを使い回す
-
管理を簡単にするために、ついやりがちな方法です。
安全なパスワード作成の考え方でも触れたように、ログイン情報の管理において、サービス側への企業攻撃に対して、個人では対策方法がありません。
前述したように、「複雑なパスワード」で「個別のパスワード」を用意することで、被害のリスクを低減できます。 - 人目のある場所でパスワードを手打ちする
-
覗かれている、と常に想定しておきましょう。
まとめ
パスワード管理を正しく行うことは、自分の大切なデータやアカウントを守る第一歩です。
この記事で解説したように、意識すべきポイントは次の3つでした。
日常的にパスワードを意識するのは大変ですが、ツールを使えば手間をかけずにセキュリティを高められます。
特に パスワード管理ソフトは、初心者でもすぐに取り入れられる強力な味方です。
また、同時にPC自体の基本的なセキュリティ設定を確認しておくことも大切です。
Windowに基本搭載されている「Windowsセキュリティ」は、実は強力なセキュリティソフトです。
以下の記事で、最低限確認すべき設定について解説していますので、参考にしてみてください。
パスワード管理ソフトの中でも、特に使いやすく信頼できるのが1Passwordです。
1Passwordはカナダの企業が提供している、世界的に信頼されているパスワード管理サービスです。
多くの企業や個人ユーザーに利用されており、セキュリティの高さには定評があります。
公式サイトから直接購入することもできますが、支払いは海外決済になるため、日本円での利用や日本語サポートがありません。
おすすめなのは、ソースネクストでの購入です。
ソースネクストは1Passwordの日本公式代理店なので、日本円で購入でき、サポートも日本語対応しています。
また、定価でも割安なのですが、定期的にセール価格になり、更に安くなるのが特徴です。
*ソースネクストでは、会員向け割引をしている場合があります。購入前に会員登録を済ませておくのがオススメです。
パスワードの安全性を高めることは、安心してPCやインターネットを使うための大切な基盤になります。
今日から少しずつ見直して、より安全な環境を整えていきましょう。
