1. 情報セキュリティブログ ホーム
  2. 辻 伸弘のセキュリティ防衛隊
  3. 第1回 もう覚えるのやめませんか? 安心なパスワード管理の方法について聞いてみた
このエントリーをはてなブックマークに追加 Clip to Evernote Yahoo!ブックマークに登録 このエントリをBuzzurlに登録 Buzzurlブックマーク数 Google+

辻 伸弘のセキュリティ防衛隊

第1回 もう覚えるのやめませんか? 安心なパスワード管理の方法について聞いてみた(3/3)

"覚えずに"安心してパスワードを管理するためのポイント

★ パスワードを狙った攻撃手法と、悪用された場合の危険性についてはよくわかりました。では、最後に、アカウントのセキュリティ強化のための自衛策について教えてください。
辻 伸弘隊長
まずは、パスワードの設定です。繰り返しになりますが、以下のポイントが挙げられます。 (1)長く、複雑な文字列を設定する。大文字と小文字、数字や記号を混ぜ、8文字以上で長ければ長いほどよい。
(2)辞典に載っているような単語や、他人に推測されやすい文字列は使わない。
(3)同じパスワードを複数のサービスで使い回さない。
そして、オプションとして、2要素認証が利用できるサービスであれば、できるだけ利用するようにしましょう。
★ これだけ複雑に設定したパスワードを全部暗記するのはとても大変です。どうしたら覚えることなく、安心して管理できるのでしょう。
辻 伸弘隊長
長く複雑なパスワードを暗記しておくのは難しいことです。これは、仕組み、運用で解決するのがよいと僕は思います。大きく二つの方法があり、一つは、手帳や紙にメモしておく方法。もう一つは、パスワード管理ソフトを用いる方法です。ちなみに、僕はパスワード管理ソフトを使っています。
★ 紙に書くとは意外な気がします。
辻 伸弘隊長
そう考える方が多いと思いますが、よく考えて欲しいことがあります。それは、自分が守りたい情報(ここではIDとパスワード)がどこにあり、それがどこからの脅威にさらされているのかということです。オンライン上にある情報を狙う敵は、当然ながらオンライン上にいるわけで、その敵は、どう頑張っても、僕の手元にある紙を読むことはできません。覚えられないからといって同じパスワードを複数のサービスで使い回しするより、紙に書く方がはるかに安全な場合があるのです。
★ なるほど。では、手帳にメモをする場合の注意点はどのあたりになるでしょう?
辻 伸弘隊長
手帳にメモする場合のポイントは以下の通りです。

(1)パスワードの文字列を全部書かないことです。8文字であれば、先頭と末尾の文字列だけ覚えておき、手帳には6文字分しか書かないようにします。
(2)パスワードの文字列を決めるのが難しいという方には、例えば、下図のように、利用するサイトの名前を自分の覚えやすい文字列に置き換えるなどの「ルール」を紹介します(もちろんランダムな文字列でも構いません)。
利用するサイトの名前を自分の覚えやすい文字列に置き換える「ルール」の例 (3)そして、(1)にあるように、パスワードの文字列を全部メモに書かないために、例えば、全てのパスワードの先頭と末尾に配置する文字を予め決めておき、それを覚えておきます。例えば、前が「%」で後ろが「&」という要領です。
(この場合、パスワード文字列は、「%5ImP¥e&」となり、手帳にメモする文字列は、「5ImP¥e」となります)
(4)手帳にメモしたもののコピーは家に置いておき、もしメモを紛失したら、家にあるコピーを使って全てのサイトのパスワードを変更します。

この方法であれば、手帳にサイト名とパスワードを全部書かなくても、「ルール」に従って、自分でどのサイトのパスワードかを思い出す効果が期待できます。また、万一、メモを紛失しても、拾った人が悪用するまでの間に、パスワードを変更する時間が稼げる効果も期待できます。そして、持ち歩くメモは必要最低限にする(メモするパスワードの数を絞る)というのもリスク分散になりますね。
★ ふむふむ。これなら私にも実行できそうです。それでは、最後に、パスワード管理ソフトについて解説してください。
辻 伸弘隊長
パスワード管理ソフトは、ID、パスワード、サイトのURLなどを自分に代わって覚えてくれるソフトです。注意点は、マスターパスワードと呼ばれる、パスワード管理ソフトにログインするためのパスワードを一つだけ覚える必要があることです。
★ どんなソフトを選べばよいのでしょう。
辻 伸弘隊長
多くの人が利用している、信用できる開発元のソフトを使うのがよいでしょう。パスワード管理ソフトには、オフライン型とクラウド型があって、前者はデバイス上でパスワードを保存し、後者はオンライン上で保存するものです。ちなみに、僕はオフライン型のソフトを使っています。
★ 機能上のポイントなどはありますか?
辻 伸弘隊長
そうですね。オンライン型のソフトのほとんどは、携帯のSMSなどを使って2要素認証に対応しています。また、パスワードの使い回しをしていないかを調べてくれる監査機能を備えたものや、ランダムなパスワードをソフト側で生成してくれる便利な機能もあるので、必要に応じてこうした機能を利用するのもよいでしょう。

★ なるほど。これなら"覚えずに"安心してIDとパスワードを管理できそうです。自分が守りたい情報(IDやパスワード)がどこにあり、それがどこからの脅威にさらされているのかを考えることが大事というのがよく分かりました。

【今回のまとめ】
(1)IDとパスワードは、サービスを利用するユーザーが本人であることを証明するための大切な情報で、これが破られると金銭的被害や個人情報の被害、なりすましによる深刻な被害を被る可能性がある。
(2)パスワードを破る攻撃手法には、大きく分けて「総当たり攻撃」「辞書攻撃」「リバース型攻撃」「リスト型攻撃」の4つのパターンがある。
(3)パスワードの強度を高めるための対策としては、大文字と小文字、数字や記号を混ぜ、8文字以上の長く、複雑な文字列を設定することや、辞典に載っているような単語や他人に推測されやすい文字列は使わない、同じパスワードを複数のサービスで使い回さないといったポイントを守ることが重要。
(4)1ユーザーが利用するWebサイトのうち、パスワードでログインが必要なWebサイトは、平均で約14サイトもあるといわれる。それぞれに長く、複雑な文字列で設定したパスワードを設定し、記憶するのは困難だ。
(5)長く複雑なパスワードを暗記せずに管理するためには、手帳や紙にメモしておく方法(その際「パスワードの文字列を全部書かない」「メモのコピーは家に置いておく」などの注意点がある)や、パスワード管理ソフトを用いる方法など、仕組みや運用で解決するのがベターだ。

【当ブログ内の関連記事】
情報が漏えいしたときの被害は深刻!? IDとパスワードの管理は厳重に行おう(今すぐ見直したいセキュリティ対策)

日立ソリューションズのセキュリティソリューション

統合認証・アクセス管理ソリューション

統合認証・アクセス管理ソリューション

ID・アクセス権管理の一元化からユーザ認証強化まで対応するワンストップのソリューション。 これまでのオンプレミスな環境に加え、クラウド・モバイル環境に対する統合認証基盤の適用により高いユーザビリティを兼ね備えたソリューションを提供します。

詳しく見る

関連キーワード:
辻 伸弘のセキュリティ防衛隊

監修者プロフィール

監修者プロフィール

辻 伸弘(つじ・のぶひろ)

大阪府出身。ソフトバンク・テクノロジー株式会社に所属。セキュリティ技術者として、情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト(侵入テスト)などに従事。また、自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行う。現在は、主に攻撃視点を意識しつつ情報セキュリティに関する調査や分析を行い、講演や執筆活動も精力的にこなすなど情報発信を続けている。Twitter IDは@ntsuji