日々、あらゆるネット上のサービスを使いパスワードにまみれた生活をしている中でなんとなく
「パスワードの使い回しって良くないんだよな」
とは思いつつもついつい同じパスワードを設定してたりしないでしょうか? 自分もそうしていました。しかし思い立ってそれを整理することにして色々わかったのでその事について書きたいと思います。
なぜ使い回しはいけないのか?
自分どれだけパスワードを入れているサービスあるんだろうと思って軽く数えてみたら、100個くらいはありました。
これらのサービスのうちのどれかが何らかの理由でパスワードが漏れたとき、さらにID(メールアドレス)もセットで特定されてしまった場合、そこから芋づる式に色々なサービスに入って乗っ取られてしまうリスクがあります。想像してみると恐ろしい話ですが、しかしどうすればよいのでしょうか。
わかりやすいパスワードはダメ?
パスワードを覚えるにあたって色々変えるとなった場合どうやって覚えるの?という話になります。「12345678」とか「password」みたいな規則性があったり一般に知られる単語のようなパスワードや「19830724」のように生年月日をパスワードにしたものなど、特定しやすいパスワードにしてしまうと、それを入れられて突破されてしまうリスクがあります。
最近ではパスワードの文字数をなるべく多く、そして大文字小文字や記号を含めることで複雑なパスワードにする必要があると言われています。
ということは一般的にわかりにくく、頭では覚えにくいパスワードを個別に設定しないといけないということになり、もう覚えていられないということになってくるかと思います。
その管理方法として思いつくのは、
紙のメモ帳に記録する
これは確実な方法ですが、紙自体を失くすリスクだったり、記号を含めた複雑なパスワードはメモるのもそれを見て打ち込むのも大変で、間違いがあると「復活の呪文記録ミス」のように取り返しがつかなくなるリスクもあります(パスワードの再発行はできるけど)
メモアプリ、エクセルなどにまとめて記録する
そのファイル自体が流出したら終わりということが気になりますが、このファイル自体にパスワードをかければそれさえ破られなければ比較的安全ではあります。が、このファイルを開かないとパスワードが取り出せない手間、専用のソフトでない使いづらさなどの問題があります。
パスワード管理サービスを使う
1passwordなどが有名で、これを使うのはかなり良い方法ですが、有料であることがほとんどなのがネックです。しかし最近では無料でそういったサービスを使う方法があり、
GoogleとAppleのパスワードマネージャーを使い分ける
これが一番手軽な方法なのではないでしょうか。
AppleではiCloudキーチェーン、GoogleはGoogleパスワードマネージャーという名前で提供されています。
これらを使う上での注意することはどのプラットフォームにカバーされているのかです。
AppleはAppleのデバイス、つまりiPhone、iPad、MacなどにApple IDに紐づく形で使用できます。例えばiPhoneで入力したパスワードを記録しておけばMacでログインするときにもそのパスワードを呼び出せます。さらにWindowsにおいてもアドオンを入れることでiCloudキーチェーンのパスワードを呼び出せるのでWindowsPCまでを統合することができます。
Googleの方はAndroidとChromeです。Androidは携帯がiPhoneの人には関係ありませんが、Chromeの方は様々なデバイスにインストールして使えます。私の場合、会社のWindowsPCと自宅用のMacでChromeを使っています。あとiPhoneではSafariを使っているのですが、iOSにもChromeはあるのでそれを使えばパスワード環境を統合できます。
しかしiPhoneの場合ブラウザ以外にもアプリからログインしているものが多いので、その場合はiCloudキーチェーンから呼び出すことになります。
こうして考えると私の環境の場合、iCloudキーチェーンだけですべてのデバイスのパスワードを統合管理できるようにも思いますが、Chromeのパスワード管理はブラウザの中で完結する分、使い勝手がよく、ブックマークの同期機能も含めて便利なので併用して使っています。
パスワードマネージャーへのログインはどうする
で、この設定を使えるようにしたらあとは個々のサービスのパスワードをマネージャから提案される強力なものを入れるようにします。これらのパスワードは人間が覚えたりメモをしたりせずにクラウド上のマネージャーに覚えておいてもらいます。
そうなってくると、パスワードを全部クラウド上においていいんだろうか?という疑問も湧くかもしれません。まずGoogleやAppleという会社自体を信頼するという前提があります。そしてその会社が悪でないとしても悪意ある者によって盗まれるリスクも考えると思いますが、これらのデータは暗号化して管理されており、仮に盗まれてもそのまま悪用される可能性は低いと考えます。
あとは入り口の問題です。つまり私と同じ方法で何者かがパスワードマネージャーにアクセスできてしまう場合を考えます。たとえば私自身がフィッシング詐欺に遭いパスワードを渡してしまう可能性などです。その際の保険としてあるのが2段階認証です。
2段階認証があればかなり安心
別の端末に「あなたのアカウントでログインしようとしている人がいますけど大丈夫ですか?」と聞かれるやつですね。主流の方式は携帯電話番号を登録することでログインの際に電話番号にSMSが送られてこれを入力させる方式です。
これを設定しておけば知らないところでログインされる危険はかなり下がるので安心です。GoogleやAppleなどの元栓的なアカウントにはこれを設定しておきましょう。
今後主流になる新しいログイン方式「パスキー」
更にここ数年でよく聞くようになった新しい技術が「パスキー」と呼ばれるものです。具体的には指紋や顔認証などの生体認証や、その端末の中だけでロック解除に使うPINなどの方式でログインをする技術です。これを使うと長いパスワードをユーザーが入力せず、通信上で渡すことも無いため、流出して他人に使われるリスクがかなり下がります。
あとパスワードを覚える必要がなくなるという利用者にとっての大きなメリットもあります。2023年には各種サービス(Amazonや任天堂など)が単体でパスキーでのログインに対応するようになってきました。これを設定すればパスワードマネージャーを使わずとも複雑なものを設定して自分がログインするときは指紋認証などで簡単にログインを実現できます。
シングルサインオンなら覚えるパスワードを減らせる
最近のサービスで良く見られる「Googleアカウントでログイン」みたいなやつ、シングルサインオンという技術で、別のアカウントのログインによって別のサービスにログインできる技術があります。これを使うと新しいIDとパスワードを作る必要がなくなるため、覚えておくパスワードを減らすことができます。リスクを一箇所にまとめる技術と言えますので、その分ログインに使うアカウントをしっかり守る必要がありますが、ここまで説明してきた方式でそのアカウントを保護すればよいかと思います。
使い回していたパスワードを変更する
さきほど100個くらいパスワードがあると言いましたが、これを全部変えるのは大変に骨が折れます。そのため重要なものから変えるのがよいでしょう。重要度で考えると
超超大事 Google、Apple。各種サービスの大元になるアカウント
超大事 金融機関、ショッピングなど金銭を扱うアカウント
大事 日々よく使っているSNSなどのアカウント
その他 有象無象のアカウント
くらいのカテゴリに分かれてくると思います。Google、Appleには2段階認証やパスキーを設定し、重要なものからパスワードを変えてマネージャに保管させましょう。このとき強力なパスワードに変えたもののマネージャに保管されずに呼び出せないとなるとめんどくさいことになるので、なれないうちはまず適当なアカウントで一つやってみて、うまく扱えるかを試してみるのをオススメします。
まとめ
- パスワードはサービスごとに別のものにする。
- パスワードは複雑なものにしてパスワードマネージャーに記録する。
- そのパスワードマネージャーを開くためには2段階認証やパスキーを設定する。
ここまでやればパスワード管理はかなり強固になり、かつ利便性も高まるかと思います。
よいパスワードライフを。
コメント