今の時代数十個のログインパスワードを管理しなくてはなりません。もちろん、いちいち全てのパスワードを覚えるなんて不可能です。酷い人になると全て同じパスワードを使い回すとか、非常に単純なパスワードをチョロっと改変して使うとか、セキュリティーの事など一切お構いなしの人もいます。後悔先に立たずではありませんが、パスワードが他人に盗まれると、酷い時には自分のブログを改変されたり、SNSを乗っ取られたり、それならまだましな方で、金融関係は特に後々大変面倒くさい思いをすることになります。そういうわけで、どこのサイトも一定期間でパスワードを変えるように強く推奨しているのですが、人間なかなか重い腰を上げようとはしません。パスワード変更はとにかく面倒なので、ほとんどの人がずーっと同じパスワードを使っているのではないでしょうか?今日はパスワードをいかに楽に管理するかを調べてみたいと思います。
パスワードに多様性を持たせる
個人情報の流出がニュースになっているのをよく見かけるかと思います。ログインパスワードの流出で、過去に何度かパスワード変更を余儀なくさせられた経験がありますが、やはりパスワードを複数サイトで使い回すのは危険だと実感させられます。アカウントを乗っ取られた事はまだありませんが、それも時間の問題なような気もします。そういう意味もあってパスワードはサイトごとに設定することを推奨します。さらにパスワードは絶対に推測不可能なような難解なものにする必要があります。そうなると覚えるのもメモするのも至難の業となってしまうのですが、そこでpassword managersがhandyになります。パスワード管理ソフトには色々な種類がありますが、何を選ぶかは個人の嗜好とセキュリティーの堅牢性、そしてそのソフトの信頼性で決まるかと思いますが、ネットで口コミを見るのがやはり一番確実な方法だと思います。
パスワードは複雑難解にする
ほとんどのパスワード管理ソフトは複雑なパスワードを生成することができます。つまり自分で手間をかけて難しいパスワードを考え付く必要がないということです。パスワードを推測されやすいものにすると、簡単にパスワードを破られます。なので、パスワードは出来るだけ複雑にする必要があるのです。パスワード管理ソフトを使う時も、パスワード管理ソフトにログインするための非常に重要なパスワードは自分で管理する必要があります。そういう重要なパスワードは結局自分でパスワードを決める必要があるのですが、アルファベットの大文字小文字と数字を上手く使い分けるのがベストみたいです。例えば、My2FavoriteFoodsAre1Koi2Inago、のようなパスワードがいいみたいです。
パスワード管理ソフト
オンラインかオフラインは悩む選択ではないでしょうか?クラウドベースのオンライン管理ソフトだと、デバイス間でシームレスなパスワード管理ができる反面、やはりセキュリティーに対する懸念が、という人もいるかと思います(パスワード管理サービスのLastPassでデータ漏えい)。オフラインの場合はセキュリティー面の心配は低くなりますが、デバイス間でのパスワードのやり取りがかなり面倒臭くなります。一番手っ取り早いのはデバイスを1台に絞ってそれ以外のデバイスからは一切ログインしないというのも1つの手かもしれません。少なくとも、金融関係やオンラインショッピング関係はそうした方が無難です。クレジットカード情報を扱うデバイスは1台に集約すべきかもしれません。
パスワード管理ソフトの安全性
パスワードは自分で管理した方が安全という疑心暗鬼な人も多いのではないでしょうか?そこでパスワード管理ソフトの安全性を色々調べてみました。
Password app developer overlooks security hole to preserve ads
Think it’s bad when companies take their time fixing security vulnerabilities? Imagine what happens when they avoid fixing those holes in the name of a little cash. KeePass 2 developer Dominik Reichl has declined to patch a flaw in the password manager’s update check as the “indirect costs” of the upgrade (which would encrypt web traffic) are too high — namely, it’d lose ad revenue. Yes, the implication is that profit is more important than protecting users.
「企業がセキュリティーの脆弱性修正に時間を費やすのは良くないと思いますか?小銭のために企業がセキュリティーホールを塞ぐのを回避したらどうなるか想像してみて下さい。KeePass 2の開発者、ドミニク・ライシェルは、パスワード管理のアップデートチェックの不具合に修正パッチを当てるのを、ウェブトラフィックが暗号化され、アップグレードの間接原価があまりにも高くつくので、はっきり言えば、広告収入を失うので、拒否しました。そうです、どうやら利益は顧客保護よりも重要のようです。」
開発者が利益優先で顧客の安全性を犠牲にするとか有り得ませんよね。従業員が顧客情報を漏洩したり、売ったり、そう言った嫌なニュースも耳にします。自分以外は信用出来ないのも当然でしょう。人間の中には自分の利益のためなら他人の事など知ったこっちゃないという考えの人が結構います。
トレンドマイクロのパスワード管理ツールにパスワードを盗まれ遠隔操作される脆弱性
なお、オルマンディ氏は、Password Managerのセキュリティホールをついて、同ソフトが保存しているパスワードを盗み出すことにも成功しています。つまり、大切なパスワードの管理を任せた「Password Manager」はザルであり、攻撃者に侵入されパスワードをすべて盗まれるような作りだったというわけです。
結論としては、世の中に完璧なものは存在しないし、ある程度の妥協は必要で、利便性と安全性をよく考えて、よく調べてから行動するしかありません。パスワード管理ソフトは便利で、自分でパスワードを作って管理するよりも安全性は高いのかもしれませんが、絶対ではないということも忘れてはいけません。金融関係サイトやクレジットカードを使うサイトのパスワードは自分で管理するのが無難と個人的には思っています。それ以外はパスワード管理ソフトを使うのもいいかもしれません。これはあくまでも個人的な意見なので、パスワードの管理はあくまでも自己判断で、適切な方法を選択するしかありません。
参考サイト5 things you need to know about password managers