ITmedia ガジェット 過去記事一覧
検索
コラム

「安全なパスワードは難し過ぎて自分さえログインできない」問題、どう対処するのが“正解”なの?

年々、「安全なパスワード」のハードル上がってません?

PC用表示 関連情報
advertisement

 インターネットが普及した現代社会では必要不可欠、でも、とにかく面倒くさいのがパスワード管理。メールやSNS、ネット通販、有料動画配信サービスなどでアカウントを作るたびに「パスワードを設定してください」、ログインし直すたびに「入力してください」と、何度も何度も入力が求められます。

 そのうえ、セキュリティに配慮した“安全なパスワード”には、「○文字以上にする」「アルファベットの大文字、小文字を混ぜる」などの条件があり、覚えるだけでも一苦労。“安全で、しかも、記憶力に優しいパスワード”の管理方法はないのでしょうか?



安全なパスワードの作り方、ちゃんと守ってます?

 そもそも安全なパスワードが必要だといわれているのは、不正ログインなどの被害を防ぐため。これにはさまざまな手口があり、流出したID、パスワードを利用する「リスト型攻撃」、パスワードに使われそうなフレーズを試していく「辞書攻撃」などが知られています。

 こういった攻撃はプログラムを使って行われるため、文字列の組み合わせを全て試していく「総当たり攻撃」のような力技としか思えない手口でも成立してしまう可能性があるといいます。大げさに言うならば、パスワードとは「人間 vs コンピュータの戦場」なのかもしれません。

 では、安全なパスワードは具体的にいうと、どのようなものなのか。その内容は団体などによって多少異なりますが、情報処理推進機構らの情報をまとめると、以下のようなものになります。

  • 最低8文字以上
  • 人名や辞書に載っている語、電話番号、文字の単純な羅列などは使わない
  • 誕生日、自分の名前なども避ける
  • アルファベットの大文字、小文字、記号、数字を混ぜる
  • 複数のサービスで使い回さない

情報処理推進機構による悪いパスワードの例。考えるだけでもけっこう大変そう


「覚えやすくて安全なパスワード」とは何なのか。Googleヘルプページでは、歌や本の一節を使う方法が紹介されています

 要するに「長くて」「複雑で」「他人から推測しにくい」ものを使うべきというわけ。さらに「使い回さない」という条件もありますから、そのようなフレーズをいくつも考えて、各サービスで使い分けなければならない、ということになります。

 何とかこの通りに安全なパスワードを作ったところで、忘れてしまったら元の木阿弥。悪意のある第三者ばかりか、自分までログインできなくなってしまいます。実際のところ、「推奨されているやり方は知っているけど、守っていない」という人がかなり多いのではないでしょうか。

「覚えられないから適当」ではなく「覚えなくてもいいから安全に」

 パスワードは強固なものを使うのが理想的。でも、人間の記憶力には限界があって、それは難しい。だから、良くないと分かっていても適当になってしまう―― こんな現実的な問題は、どうすればクリアできるのでしょうか。

 内閣サイバーセキュリティセンター(NISC)が制作する「インターネットの安全・安心ハンドブックVer.4.00」で推奨されている方法の1つは「スマホのパスワード管理アプリを使う」というもの。「利用規約を守り、システムを最新に保っている限りは、スマホのセキュリティは十分に高い設計」で、紛失・盗難に対しては「3重4重のセキュリティ」が設けられているといいます。


専用のノートで管理するのもOKとされています(画像はインターネットの安全・安心ハンドブックVer.4.00より)


扱い方次第なところもありますが、スマホは○が2つ。この中なら、もっと評価が高いパスワードの管理方法といえそうです(画像はインターネットの安全・安心ハンドブックVer.4.00より)

 この方法を推奨する背景には「パスワードは適切に扱ってほしいが、記憶力頼みで管理するのは非現実的」という発想があるもよう。ツールに頼ることを認める一方、以下のように“すべきではないこと”がいくつも掲げられています。なお、詳細は同ハンドブックからご確認ください。

<パスワード管理の注意点(一部)>

  • 複雑ではないパスワード、使い回しなど安全“ではない”使い方は避ける
  • ブラウザの自動入力機能を使うのはNG
  • ノートなどに記録する場合は分からないように書く(それ専用のノートもある)
  • ソーシャルログイン、アプリ連携は避ける
  • 秘密の質問は、真面目に答えてはいけない(SNSなどから推測できてしまう可能性)
  • パスワードの定期変更は基本的に必要ないが、情報流出などがあったら速やかに変更

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る