「安全なパスワードは難し過ぎて自分さえログインできない」問題、どう対処するのが“正解”なの？

年々、「安全なパスワード」のハードル上がってません？

» 2019年02月14日 12時00分公開

[ねとらぼ]

　インターネットが普及した現代社会では必要不可欠、でも、とにかく面倒くさいのがパスワード管理。メールやSNS、ネット通販、有料動画配信サービスなどでアカウントを作るたびに「パスワードを設定してください」、ログインし直すたびに「入力してください」と、何度も何度も入力が求められます。

　そのうえ、セキュリティに配慮した“安全なパスワード”には、「○文字以上にする」「アルファベットの大文字、小文字を混ぜる」などの条件があり、覚えるだけでも一苦労。“安全で、しかも、記憶力に優しいパスワード”の管理方法はないのでしょうか？

安全なパスワードの作り方、ちゃんと守ってます？

　そもそも安全なパスワードが必要だといわれているのは、不正ログインなどの被害を防ぐため。これにはさまざまな手口があり、流出したID、パスワードを利用する「リスト型攻撃」、パスワードに使われそうなフレーズを試していく「辞書攻撃」などが知られています。

　こういった攻撃はプログラムを使って行われるため、文字列の組み合わせを全て試していく「総当たり攻撃」のような力技としか思えない手口でも成立してしまう可能性があるといいます。大げさに言うならば、パスワードとは「人間 vs コンピュータの戦場」なのかもしれません。

　では、安全なパスワードは具体的にいうと、どのようなものなのか。その内容は団体などによって多少異なりますが、情報処理推進機構らの情報をまとめると、以下のようなものになります。

最低8文字以上
人名や辞書に載っている語、電話番号、文字の単純な羅列などは使わない
誕生日、自分の名前なども避ける
アルファベットの大文字、小文字、記号、数字を混ぜる
複数のサービスで使い回さない

情報処理推進機構による悪いパスワードの例。考えるだけでもけっこう大変そう

「覚えやすくて安全なパスワード」とは何なのか。Googleヘルプページでは、歌や本の一節を使う方法が紹介されています

　要するに「長くて」「複雑で」「他人から推測しにくい」ものを使うべきというわけ。さらに「使い回さない」という条件もありますから、そのようなフレーズをいくつも考えて、各サービスで使い分けなければならない、ということになります。

　何とかこの通りに安全なパスワードを作ったところで、忘れてしまったら元の木阿弥。悪意のある第三者ばかりか、自分までログインできなくなってしまいます。実際のところ、「推奨されているやり方は知っているけど、守っていない」という人がかなり多いのではないでしょうか。

「覚えられないから適当」ではなく「覚えなくてもいいから安全に」

　パスワードは強固なものを使うのが理想的。でも、人間の記憶力には限界があって、それは難しい。だから、良くないと分かっていても適当になってしまう――　こんな現実的な問題は、どうすればクリアできるのでしょうか。

　内閣サイバーセキュリティセンター（NISC）が制作する「インターネットの安全・安心ハンドブックVer.4.00」で推奨されている方法の1つは「スマホのパスワード管理アプリを使う」というもの。「利用規約を守り、システムを最新に保っている限りは、スマホのセキュリティは十分に高い設計」で、紛失・盗難に対しては「3重4重のセキュリティ」が設けられているといいます。