3. 徳丸先生!正しいパスワード管理について教えて!

プロに聞く【vol.04】

2015.01.14

徳丸先生!正しいパスワード管理について教えて!

  • Facebook
  • このエントリーをはてなブックマークに追加

187202123「NO MORE 情報漏えい 調査アンケート」で判明した、「3人に1人はほとんど同じパスワード」を設定しているという事実。
一般的には【英数記号を混ぜた、意味を持たない文字列(8文字以上)】が理想だと言われています。しかし、全てのサービスにこれらのパスワードを設定して、それを覚えておくのは不可能に近く、だからこそリスクはわかっていても「パスワードの使い回し」をしてしまいがちです。

では、実際にパスワード管理はどのようにしていけばいいのでしょうか。
HASHコンサルティング株式会社 代表取締役 徳丸 浩 氏(独立行政法人情報処理推進機構(IPA)非常勤研究員)に詳しく解説していただきました。

MOTEX(以下、M):パスワードの使い回しは危ないということはわかりましたが、パスワードを設定するときに気を付けることはなんですか?

基本ですが、IDと同じにする、誕生日や電話番号、車のナンバーなど、連想されやすいものは絶対にダメですね。
また、悪意のあるものによる攻撃の場合「辞書攻撃」といって、辞書にある単語を片っ端からいれていくという手法があります。つまり、なるべく想像しにくい文字列にすることです。

01082

ただし、「3jnow#kg1b」のような文字列を10個も20個も覚えておくことはできないので、「自分のルール」を作って、それに従いパスワードを作るといいですね。

パスワード作成時のルール例

(1)まず適当なフレーズを一つ決める。
  3時のおやつは、カステラが一番

(2)ローマ字化する(数字と句読点は残す)
  3 ji no oyatsu wa, kasutera ga 1 ban

(3)冒頭の文字だけを拾っていく
  3jnow,kg1b

(4)必要に応じて記号を変更または追加
  ※ 句読点などがサイト側で許容される記号であればそのままでもよい
  3jnow#kg1b

M:なるほど、これだと意味を持たない文字列に見えますが、自分では覚えやすいですね。でも、結局パスワードが増えてくると覚えるのが大変ですよね・・・
パスワードを管理するいい方法はあるのでしょうか?

少し前までは、「パスワードを紙に書くのは危険だから書いてはいけない、覚えるべき」という意見も多かったのですが、実は紙は意外に安全だったりします。
もちろん、書いた紙を人目につくようなところにおいておくことは論外ですが、その紙を家などできちんと管理していれば、それを盗まれない限り安全ですので、パスワードを使い回すよりもずっといいと思います。
ちなみに、データにしてパソコンなどに入れておくと、ウイルスなどに感染して持って行かれる可能性が考えられますね。

M:最近では、ブラウザ自身にパスワードを記憶する機能がついているものがありますが、この方法はどうでしょうか。

90092812例えば、ブラウザによってはパスワードをクラウドで管理しているので、同じアカウントでログインすれば、他のデバイスでも保存したパスワードを共有できるので、非常に便利です。ただし、そのブラウザを開けさえすれば誰でもログインできてしまう点や、ウイルス感染などによってパスワードを抜かれてしまうリスクはあります。ただ、これもパスワードを使い回すよりはいいですね。

最近では、パスワード管理ツール(アプリ)もたくさんあります。これらのツールを使って管理する方法もあります。

M:なるほど、人間の記憶も限界がありますしね。そもそも、パスワード管理ツールではどのようなことができるのでしょうか。また、ツールを選ぶ際のポイントはありますか?

現在、パスワード管理ツールは様々なものが出ていますが、基本的にはID/パスワードの保存・ランダムパスワードの生成・Webブラウザと連携した自動ログイン、アカウント認証などが行えます。マスターパスワードだけ覚えていれば(しっかり管理していれば)、いくつもパスワードを覚える必要がないので、安全かつ楽に管理ができます。

パスワード管理ツールを選定する際は、技術的にしっかりしたものを選ぶこと、またその会社の信頼性も重要ですね。
有名なものでは、Lastpassや1Passwordなどがあげられます。

0108ico1Lastpass(ラストパス)
カテゴリ:仕事効率化
価格:\0
0108ico21Password(ワンパスワード)
カテゴリ:仕事効率化
価格:¥0(App内課金有)

Lastpassでは、クラウドにパスワードを保存する際に運営者も解読できないように暗号化して保存していると言われています。ですので、パスワードを知っている本人しかパスワードを知ることができません。
1passwordは単体では同期の機能がないので、iCloudなどを使って同期することになります。

M:なるほど。よくわかりました。まずは、パスワードの使い回しは絶対にしないこと。そして、バレにくいパスワードを設定すること。また、それらを自身にあった管理方法でしっかりと管理することが大切ですね。ありがとうございました。

>>パスワード管理ツール「1Password」を使ってみた!
 セキュリティ度が格段に上がるうえに、とにかく便利!!

この記事をシェアする
  • Facebook
  • このエントリーをはてなブックマークに追加

関連記事 | こんな記事もオススメです。