2013年12月15日

強力なパスワードとは?

パスワード漏えい事件が相次いでいるので強力なパスワードの利用が求められている。では強力なパスワードとはどのようなものなのか考えてみる。

複雑なパスワード

大文字小文字、数字に記号を織り交ぜた桁数の多いパスワードは一般に強力だと言われている。しかし複雑に過ぎると覚えきれない。特にサービスごとに違うパスワードを設定して、それが16桁だの20桁だのの複雑なパスワードだとすべてを覚えるのは無理だ。

覚えきれないということになるとどこかにメモすることになる。紙にメモするか、デジタルデータとして記録するか。いずれにしても人間が見える形でメモを残すとそこから漏えいする元なので、いくら複雑なパスワードといえ強力とは言えなくなる。

メールなどのように一度設定すればいいものはまだしも、利用のたびにログインを求められるオンラインバンキングなど複雑なパスワードをメモしておくならかえって危険だ。

二段階認証

サービスが対応しているなら、二段階認証を使えばパスワードが漏えいしてもたちまちアカウントを乗っ取られるということはない。あまりにも単純なものは論外だが、比較的簡単なパスワードでもアカウントを守ることができる。

しかし、二段階認証は特定のデバイスに頼るのでデバイスが故障したらログインすらできなくなる。以前iPhoneが故障したときに、iPhoneの認証アプリを利用していたサイトすべてにログインできなくなって困ったことがある。

もちろん、サービス提供側ではこのようなトラブルに対応するために緊急解除コードを用意しているのだが、この緊急解除コードをメモして持ち歩いていればそれで二段階認証を破ることができる。結局のところ、通常のパスワードと大差ない強度でしかない。

ログイン通知

パスワードの強度とはちょっと違うが、ログインのたびに登録メールアドレスに通知が来る設定ができるところもある。さらに気が利いたところでは、いつもと違う端末からのログインだけ通知するというところもある。

ログイン通知はアカウント乗っ取りを防ぐことはできないが、不正利用にいち早く気が付くことができるので強力なパスワードと併用すると有効なサービスだ。

強力なパスワードの運用

強力なパスワードは覚えきれないので運用方法を工夫しなければいけない。一番多いのはブラウザにパスワードを記憶させることだろう。ほとんどのブラウザはパスワードを暗号化して記録してくれるし、いくら複雑でもユーザーの代わりに覚えておいてくれる。

ただし、iPhoneのSafariに関しては、iPhone自体のスクリーンロックパスワードを設定していなければ設定画面からすぐに見ることができるので注意が必要だ。また、iPhone以外でもモバイルデバイスは紛失盗難の際に記録したパスワードもろともなくなるので、リモート消去等のユーティリティは必ず設定しておくべきだ。

注意しなければいけないのは記憶したパスワードの消失だ。ブラウザだけに記録しておいてもちょっとした不注意やブラウザのアップデートに伴うアクシデントでデータが消えてしまうことがある。そうなると回復は不可能なので、別の場所にも保管しておかなければいけない。

お勧めするのは、パスワードを紙のノートに記録しておいて、自宅からは一切持ち出さない、できれば金庫に保管するということだ。普段の運用はパスワードをブラウザに記憶させる。これならめったなことでノートを盗まれることはないし、端末の管理さえしっかりしておけばいい。

ほかにも、いくつかのセキュリティ企業では、パスワードマネージャを提供している。こういうパスワードマネージャを使えばパスワードを暗号化して保管しておく用途に使えるほか、複雑なパスワードの生成機能を持つものもある。

いろいろ書いてみたが、本当に安全なパスワードの運用はどういったものなのか、十分つかみきれていない部分がある。ここに書いた以外に安全なパスワードの運用方法があれば、ぜひ教えてほしい。

0 件のコメント: