パスワードを覚えるのも無理があるから、パスワードマネージャ使いましょう。

皆さんにこのような話を毎度行っているので、まとめて書いておきます。

結論→ Webブラウザのパスワードマネージャか、Lastpass1Password を使いましょう。値段が安いものならばLastpassを、使い勝手が良さそうなのは1Passwordかも。

最近10年ぐらいのアカウント情報漏洩の傾向を見ているとこのような具合になっている。

  • ある一箇所でIDとパスワードが漏洩する。 
  • サーバに保存されているパスワードが暗号化されていない事がある。
  • IDに使っているのはメールアドレスや携帯電話番号であることが多い。
  • ユーザは他のWebサイトやサービスと同じパスワード文字列を使い回すことが多い。
  • 漏洩したメールアドレスとパスワードの組み合わせは、他のサイトやサービスでも使い回されていることがある。
ということで、実際に漏洩したIDとパスワードのリストで、他のWebサイトへの不正侵入が試みられていたりします。そして多くの人が不正侵入に会っています。

ここまでくると、いくつかの常識は見直したほうが良い。
  • サイトやサービスがIDパスワードの十分な漏洩対策をしているとは思えない。
  • 入力したメールアドレスとパスワードは漏洩するものだと考えるべき。
  • メールアドレスとパスワードが漏洩した場合、漏洩元の事業者との間での損害に留めておきたい。他の業者での無断発注などに繋がった場合は他の業者は補償してくれない。
    • 例えば通販サイトと銀行のインターネットバンキングで使っていたパスワードが一致して、通販サイトからパスワードが漏洩した場合。銀行のインターネットバンキングに不正侵入されて引き出されたお金は補償してくれない。
  • ここまで来ると、各サイトやサービスで別のパスワードを使うしかない。
  • パスワードは紙などに書かず覚えておくように、と言われていたが、各サイトやサービスごとの別々のパスワードを記憶するのは無理である。となると紙よりは安全な何かに保存したいところ。
    • 少なくともExcelシートとかに記録するよりは安全なものを。
    • 最近はPCやスマートフォンを使うようになったので、できればパスワードの記録は複数マシンの間で共有できるものを。
  • 各サイトやサービスごとにパスワードを設定するにも、人間が考えているうちは似たようなパスワードを設定しがちである。例えば masaruyokoi というパスワードを使い始めた場合、他のサイトでは masaruyokoi1234, masaruyokoi12839 とかいう具合に違うパスワードを作りがち。対策としては機械的にパスワードを生成するものがあると良い。
という諸問題を解消するために、パスワードマネージャなるものがあります。全体的に共通する特徴はこのようなものです。
  • WebサイトごとにID, パスワードを保存できます。
  • パスワードは暗号化して保存されます。
    • パスワードマネージャのパスワードやログイン情報を紛失すると、暗号化されたパスワードを元に戻せなくなるぐらいに暗号化されています。
    • そのため、ログイン情報紛失時は結構面倒です。状況が悪いと暗号が復号できなくなります。
  • パソコンやスマホなど、複数のデバイスで共有できます。
個人的におすすめなのは Lastpass1Password あたりで、あとはWebブラウザのパスワードマネージャを使うこともおすすめです。Google Chromeのパスワードマネージャなどでも良いです。

パスワードマネージャあたりを使ったほうが良いというトレンドになった現在、過去にあったパスワード管理ルールの常識は、いくつか変更されています。
  • 定期的なパスワード変更は安全ではありません。 定期的なパスワード変更は、他所でも使っているパスワードが漏洩した時の対策として盛り込まれていましたが、このような問題があます。
    • 1年に1回とかに更新するとしても最長1年間は不正侵入の機会を与えてしまいます。でしたら、各サイトごとに別のパスワードを使ったほうが安全です。
    • 定期的なパスワード変更でも、先程あったように人力に頼っている間はパスワード masaruyokoi1234 を masaruyokoi5678に変更する程度のことしか行われません。大した期待ができません。
  • パスワードは人間が記憶するのは止めて、安全に暗号化した場所に保存することをおすすめしています。パスワード保管場所は、十分に対策された暗号化の仕組みに乗せていれば安全であることが分かってきています。また人間が記憶できるパスワードの強度は全然強くないとか、相変わらず付箋に書いているとかするので、だったらコンピュータで暗号化して保存したほうがマシです。
  • パスワードを人間に入力させるようにした場合、不正に準備されたログイン画面に人間が本物のパスワードを入力しようとしてします。暗号通信技術などの発展で、コンピュータ・プログラムならば入力画面が正規のものかどうかの判定がある程度できるので、パスワード入力してよいかどうかも、プログラムに判断させたほうが安全です。

コメント

このブログの人気の投稿

ICOM IC-7300 と RS-BA1 Version 2 でリモート操作

Windows 11 で Win10Pcap のアンインストール方法

大型特殊自動車免許を取った時の話。