「パスワードを覚える」のは、今すぐやめましょう

公開: 2018/06/28 19:01

パスワード管理に疲れていませんか?

利用するサービスは増え続けて、アカウントがどんどん増えていくのに「パスワードを使い回すのは危険です」といわれて、「簡単なパスワードは論外です」と責められる。

どーしろっていうんだよ!

個人情報のセキュリティに敏感なあなたは常日頃思っていることだと思います。

「パスワードを覚える」のは、今すぐやめましょう

2017年10月、米Yahoo!のほぼ全てのアカウント数に相当する、30億のアカウント情報が漏えいしていたことが明らかになりました。
30億件というとすごい数字ですが、実際には、2008年に起こった情報流出事件の調査結果に関するものです。
しかし、日本のYahoo! japan からではないので、あなたが「Flickr」などの Yahoo.com のアカウントを作っていないのであれば直接関係はないと思います。

それでもこの事件の他に、たくさんの情報漏えいが起こっている現状を考えると、パスワードは「漏えいするもの」と考えるべきなのかもしれません。

「使い回しをやめよう」といわれても……

多くのセキュリティ専門家が言っているのは「パスワードの使い回しは危険」ということです。
しかし、トレンドマイクロの最新調査では、「パスワードを使い回している人は8割以上」という結果も出ています。

パスワードは、数字、文字、記号の全てを使って、何桁以上という縛りがあるわけですが、サービスごとに必要な桁数や文字の種類が違うことがあります。
そのうえ、「パスワードは暗記して、目につくところに書き留めておいてはいけません」と言われています。

利用するサービスごとに違うパスワードを設定してくださいと言われても、覚えきれるわけがありません。

そこで私がオススメしているのは、パスワードマネージャーの利用です。

覚えることをやめれば、パスワードは超強力にできる

パスワードマネージャーを利用すると、パスワードジェネレーターを利用して、複雑で一目で盗み取ることができないような強力なパスワードを利用することができます。
そしてもっと重要なのは、このようなツールを利用すれば、個別のパスワードを全く覚える必要がなくなるという点です。

これまでは、強いパスワードの作り方を覚えて、利用するサービスの制限に沿ったパスワードを自分で考える必要がありました。
しかし、パスワードマネージャーを利用すると、パスワードジェネレーターで作り、登録して、管理すればいいのです。

これならば、情報漏えい事件が起きたとしても他のサービスに影響が及ぶことはなく、「パスワードリスト型攻撃」対策が完了します。

パスワードマネージャーには、利用するOSに合わせて色々なものが公開されています。

MacやiOSには、有名どころでは「1Password」がありますが、ほかにも「LastPass」や「KeePass」などのツールが揃っています。
基本的には英語で、有料のものも多いですが、それだけの価値があると私は思っています。

しかし、ほとんどのものはパスワードの生成ルールが明確に公開されておらず、暗号化についてもお任せという状況で、作ったパスワードも管理会社のオンラインサービスで保存するというものですから、そこから流出しないとは言い切れません。

私がオススメしているのは、「KeePass Password Safe」というソフトです。
無料で使えるパスワードマネージャー「KeePass Password Safe」

このソフトの良い点は、パスワードを記録したファイルを暗号化する際に、自分で生成した鍵ファイルを使って暗号化するところです。

「KeePass Password Safe」では、パスワードは 256 ビット AES 暗号で暗号化して保存され、パスワードの解読には自分自身で作り出した鍵ファイルがなければ開くことができないという管理方式で、パスワードの漏洩が非常に困難になるように設計されています。

「パスワードを使い回すな」というセキュリティ対策は、パスワード管理ソフトを使って解決すべきです。

さあ、パスワード管理を「根性論で頑張る」のは、もうやめにしても良いんですよ。


組織内のパスワード管理の啓蒙に疲れたあなたに。

自分自身のパスワード管理は、実は割と簡単に切り替えることができます。
しかし、組織内でのセキュリティ意識の改善やパスワード管理の重要性を啓蒙する役割を与えられるとそう簡単にはいきません。

「パスワードなんて面倒なだけ」とか「いちいち入力させんなよ、面倒くさい」と言われるのは日常茶飯事ですね。

Webブラウザなどには、パスワード記憶機能が組み込まれていますが、これもセキュリティに注意して使わないとパスワード流出の原因になったりしますし、モニターにパスワードの書いた付箋が貼ってあるのを見つけても、上司相手だとなかなか指摘しにくいものがあったりします。

また、パスワード管理システムを導入しようとしても、人員の入れ替わりやライセンス管理を考えると躊躇してしまいます。

そこでオススメしたいのが、アクセス管理クラウド SKUID です。

オンラインのパスワード管理システムでは、クラッッキングによるパスワード流出が心配されますが、このアクセス管理クラウド SKUID は、GMOグローバルサイン社が提供するクラウド型の無料シングルサインオンシステムです。

シングルサインオンとは、SKUIDにログインすることで、SKUIDを経由して複数のオンラインサービスにパスワードを入力せずにログインできる環境を提供するサービスです。
このサービスを利用することで、パスワードを暗記する必要がなくなり、複数のサービスをパスワードを使い回すことなく利用することができるようになるのです。

サービスを提供しているGMOグローバルサイン株式会社は、電子証明書認証局として20年以上の実績があり、SSL証明書 国内シェアNo.1の企業ですから、セキュリティや暗号に関してもプロフェッショナルです。
安心してパスワードを預けられる環境を提供してくれています。

対象サービスはSKUIDが提携するサービスに限られますが、その数もどんどん増えています。

skuid_01.jpg

また、一部の高度な機能を除いて、すべて無料で使えるのも魅力ですね。

skuid_02.jpg

まだ一部の機能は開発中ですが、PCを使う作業に関しては十分な機能が提供されています。
また、個人環境で使うこともできるので、今のうちに環境を手に入れておいても損はありません。

業務用とは別に、自分用のアカウントを作っておくのも良いかもしれませんね。

こういったサービスなら、パスワードに関する不満も多少は和らげることができるかもしれませんし、人員の入れ替わりに関してもメンバー管理を使って対応がしやすいと思います。

できるだけ安全な環境でサービスを利用できるようにすれば、セキュリティに関する啓蒙活動に煩わされることも少なくなるのではないでしょうか。


アクセス管理クラウド SKUID