マイクを持てば酔っぱらい

~カラオケをこよなく愛するITシステムエンジニアのブログ~

2016/05

私が実践している多数のパスワードの設定と管理の方法(その2)

 先日の記事で私が実践しているパスワードの設定・管理方法をご紹介しましたが,私がこの方法にたどり着いた理由を説明したいと思います。ここでは,世間でよく言われている,パスワードに関する注意喚起や対策を取り上げ,私たちがどう対処すればよいのか考えてみます。

★同じパスワードを別のサイトで使い回さないこと! ⇒ OK◎

 パスワードの不正取得者が,そのパスワードを別のサイトに使用した場合,同じパスワードにしていると破られてしまう危険性が高くなります。なので,パスワードをサイトごとに変えるべし,という考えには賛同します。実はIDを変えておけばこのリスクは減らせるのですが,パスワードを別にするのさえ大変なのに,IDまで変える管理は現実的ではありません。また,連絡用のメールアドレスをIDにするサイトもありますので,全てのサイトのIDを変えるのは不可能です。ですから,IDは同じでもパスワードを変えておく,というのが現実的だと思います。

 となると問題は「どうやって別々のパスワードを設定するか?」ですよね。

★5~10パターンのパスワードを用意せよ! ⇒ NG×

 これは全然ダメな対策です。私は60以上のサイトにパスワードを登録しており,10パターン程度では複数のサイトで同じパスワードを使わざるを得ないので,本質的な対策になっていません。また,どのサイトにどのパターンを使ったかを覚えておく必要もあるので,結局混乱してしまうでしょう。

★パスワード生成機能等を使って無意味な文字並びを設定せよ! ⇒ NG×

 意味のある単語だと破られやすいので,無意味な文字を並べることはパスワード自体の安全性を高めると思いますが,パスワードを頭で覚えることができないので,パスワード管理アプリを使うか紙にメモする必要があります。よく使うサイトなら無意味な文字でも覚えてしまいますが,時々しかアクセスしないサイトのパスワードは,アクセスのたびにアプリや紙を参照しなければなりません。

 この「何かを参照しないとパスワードがわからない」という状況は,これだけパスワードを入力する機会が多い状況ではとても不便で,調べるのに毎回数秒だったとしても,日々続くとけっこうイライラしてきます。パスワードの話であまり強調されないことですが「パスワードは頭に記憶できるものにする」のが鉄則だと私は考えます。アプリや紙を参照せずに,直接ササッと入力できる方が良いに決まっています。

 なので,私は無意味な文字並びを使いません。サイトに登録すると,初期パスワードとして無意味な文字が設定されることがありますが,私は最初のアクセスで必ずパスワードを変更するようにしています。

 では,どうにかサイトごとに別々のパスワードを設定できたところで,多数のパスワードをどう管理すればよいでしょうか?

★紙にメモせよ! ⇒ NG×

 紙しかない,という意見がいまだにあったりするのですが,私はそうは思いません。データ漏えいの観点では,紙を盗まれるリスクと,パスワード管理アプリのデータを盗まれるリスクを比べると,それほど大きな差があるとは思えませんし,紙だと,自分で紛失してしまう,どこに紙を保管したかわからなくなる,といったリスクがかなりあると思います。

 また,日々のサイトアクセスにおいて,毎回紙を取り出して参照する必要がある,というのは,意外と面倒ではないでしょうか。どうせ参照するなら,パスワード管理アプリをすぐに起動できる状態にしておく方が便利だと思います。

★パスワード管理アプリを使おう! ⇒ OK◎

 最近は,パスワード管理アプリを使うこと自体は推奨する意見が主流のようです。やはり,多くのパスワードを管理する手段として現実的であることと,パスワード管理アプリのデータ管理は暗号化等の措置が施されており,漏えいリスクにさほど神経質になることはない,という理由から,パスワード管理アプリ推奨につながっているのだと思います。

 でも,パスワード管理アプリ自身のパスワード(マスターパスワード)を破られる(忘れる)リスクは?と考える方もいるでしょう。そこで,仮にマスターパスワードが破られてもいいようにするには「パスワード管理アプリにパスワードを丸々登録せず,一部分やヒントを登録する」という対策に行き着きます。私が実践する「サイト固有部分」+「共通部分」を組み合わせる方法は,マスターパスワード漏えいリスクへの対策として思い付いた方法なのです。

 私が実践する方法は,上記で賛同できる点を実施し,上記の問題点を回避するものになっています。後日,改めて,この方法のメリット・デメリットや注意点をご説明したいと思います。

私が実践している多数のパスワードの設定と管理の方法

 皆さんは,たくさんのサイトで要求されるパスワードを,どのように設定し,どのように管理していますか? パスワードの安全性については様々なところで注意喚起されていますが,利用するWebサービスが少ない私でさえ60サイト以上のパスワードを持っていますので,これだけ多数のパスワードの安全性を確保するのは簡単ではなく,つい安易なパスワードを設定したり,管理がおざなりになってしまいます。

 ところが,多数のパスワードを安全に設定・管理する具体的な方法となると,検索で上位に見つかる記事は教科書的なものばかり。そこで,世の中で紹介されている方法にツッコミを入れつつ,IT屋の端くれである私が実際に行っている方法をご紹介したいと思います。主なポイントは以下の2点です。

1. パスワードは「各サイト固有部分」と「共通部分」の組み合わせにする

 例えば,Amazon と楽天のパスワードを設定すると,Amazon が "1730xyz",楽天が "9240xyz" という具合です。これは,共通部分を "xyz" に,Amazon の固有部分を "1730",楽天の固有部分を "9240" にしたことになります。このように「各サイト固有部分」と「共通部分」を組み合わせてパスワードを設定します。

 「共通部分」は,上の例のような安易なものではなく,数字や記号が入る絶対忘れないものを考えます。共通部分は頻繁に入力するので,慎重に考えましょう。安全なパスワードの作り方については,世間で様々な方法が提起されていますので,ここでは割愛します。

 「各サイト固有部分」は,自分なりの法則を作って,サイトごとに異なる3~5文字程度の文字を編み出します。上の例は,サイトやサービスの名称に対して,あ行=1,か行=2,…,ら行=9,わ行=0 の数字を割り当てる方法です。

  • 例1 Amazon ⇒ アマゾン ⇒ 1730
  • 例2 楽天 ⇒ らくてん ⇒ 9240

 安全性を高めようとしてあまり難しい法則にしてしまうと,自分でもわからなくなってしまうので,確実に自分で扱える法則を作っておくのがポイントです。

2. パスワード管理アプリに「各サイト固有部分」だけを登録する

 パスワードの個数が多いので,パスワード管理アプリを使うのが現実的ですが,その際「各サイト固有部分」だけを登録します。「共通部分」は頭の中に記憶するだけにするか,心配ならば別の手段に記録しておきます。

 この場合,パスワード管理アプリの入力アシスト機能を使う手順は以下のようになります。

  • パスワード管理アプリの入力アシスト機能を「パスワードの入力までをアシスト」に設定する。(ログインボタンの実行まで全自動で行う設定にはしない
  • パスワード管理アプリから自動入力すると,パスワードが「各サイト固有部分」まで入力され,その終わりにカーソルが位置する
  • そのままパスワードの続きとして「共通部分」を手入力し,ログインボタンを自分で実行する

 「共通部分」は毎回手入力します。面倒でも安全性を考えればやむを得ませんし,共通部分は常に入力するので,すぐに手入力に慣れてくると思います。

 以上,2点のポイントを踏まえてパスワードを設定・管理すれば,安全性を確保しつつ多数のパスワードをうまく設定・管理できるのではないかと思います。まずは設定・管理方法を紹介いたしましたが,この方法を私が採用している理由や注意点については,別の機会にお伝えしようと思います。

タグ絞り込み検索
記事検索
プロフィール

まっく・けぃ(Mak....

  • ライブドアブログ