パスワードの管理、どうしていますか？

Tweet

ショッピングや金融サービスなど、我々は複数のWebサイトでなんらかのサービスを利用する機会が多いですが、そこで使用するユーザー名とパスワード、特にパスワードについて、複数サイトで同一のパスワードを使うことの危険性を、専門家が警告しています。

・中国発マルウェア、半分以上はパスワード狙い(ITmedia)
・パスワードの使い回しは危険――ITUが警告(ITmedia)

前者は、中国発マルウエアの45.2％はオンラインゲームのログイン情報(ユーザー名とパスワード)を盗むことを目的としているというものです。オンラインゲームだけでなく、インスタントメッセージング(IM)のログイン情報を狙うマルウエアも多い点から、複数のサイトで同じパスワードを使うことの危険性について指摘しています。

後者のニュースは、国連機関が、インターネットユーザーはオンラインバンク、旅行代理店、書店といった複数のサイトで同じパスワードを繰り返して使うことがほぼ避けられないという現状を指摘した上で、企業や当局に解決策を見出すよう求めているというもの。

利用者側として、「すべてに同じパスワード」という運用は危険であることは理解できるでしょう。この問題点は、万が一、あるパスワードが盗まれたりしたとき、すべてのIDが危険にさらされてしまう点にあります。例えば、自分が利用しているショッピングサイトで、ユーザー名とパスワードなどの個人情報が漏えいしたとします。同じログイン情報をオンラインバンキングなど他のサービスでも使っている場合、悪意の犯罪者に当該オンラインバンキングの口座情報まで取得されてしまう危険性があります。

一方で、我々は至るところでパスワードの入力を求められるため、その全てに異なるパスワードを記憶するのは非常に煩雑で困難であるという現実的な問題もあります。

そこで、パスワード管理でユニークな方法を紹介しているニュースがあったのでご紹介しましょう。

曰く「100個のパスワードを覚える必要はなく、100個のパスワードを生み出す1個のルールを設定せよ」とのこと。

・優れたパスワードの選定と記憶法(ITmedia)

　ユニークなパスワードを生成する方法の1つに、ベースとなるパスワードを選び、対象となるサービスの一部を使って変形させていく方法がある。例えば、

「ベースパスワード＋サービス名の最初の子音2つ＋サービス名の最初の母音2つ」
　というルールでやってみよう。ベースパスワードが仮に「asdf」だとする（キー入力が簡単なので便宜的に）。ここから上記のルールでパスワードを作ると、Yahooなら「ASDFYHAO」、eBayなら「ASDFBYEA」だ。

ルールについての考え方は、他にもあると思いますが、重要なのは「覚えやすい単一のルールに従って、複数のパスワードを生成する」という点にあります。

記事によれば、ルールに基づいたパスワード管理の問題点は、「12文字以上」「数字以外使用不可」「アルファベット以外使用不可」など、一部のサイトが要求するパスワード条件に、用意したパスワードが合致しない場合があることです。こういうときは、例外として書きとどめておくか記憶するしかないですが、全てのサービスを同じパスワードで管理するよりも、確実に安全な運用ができるはずです。ご参考になってみてはいかがでしょうか。