パスワードを忘れたら困ることを優先しすぎて、簡単なパスワードになりがちな方へ。パスワードの取り扱いについて、少し見直してみましょう。
パスワードの使いまわしはダメって言われても
「パスワード忘れた」というのが嫌なんですよね。
パスワードを忘れてしまうと、再発行しなくてはいけないからね。
場合によっては、サービスを使うまでに時間もかかってしまうね。
なので、誕生日の数字を少しいじったものを使っています。
これなら大丈夫ですよね?
誕生日の数字そのままではないですし。
いじったもの?
例えば 1 (いち) を i (アイ) にするということかな?
そうです。
誕生日じゃダメって聞いたので、少し工夫してみました。
悪くないアイデアだと思うよ。
ただし、そういう工夫をしても、意外と「流出データベース」には登録されてしまっているものがあるんだよね。
えっ、なんですかそれ。
自分のパスワードがどこかで抜き取られてしまったという事でしょうか。
そういう場合もあるね。
今使っているパスワードが、危険かどうか調べられるサイトもあるんだ。
少し詳しく見ていこうか。
前に ウイルス対策ソフト比較【2022年】カスペルスキーは危険? で紹介したように、ウイルス対策と並んで重要になるのがパスワードの厳重な管理です。どのように管理し、どう扱うのがベストなのか考えていきましょう。
流出を確認してみよう
パスワード流出チェック (Pwned Passwords)
https://haveibeenpwned.com/Passwords
こちらでパスワードの流出を調べることができます。
【日本語訳 (抜粋)】
「Pwned Passwords」とは、過去に情報漏えいで流出したパスワードのことです。
Pwned Passwords は乗っ取りに利用される危険性が高く、利用には適していません。
上記のような画面が出てくると思います。
流出してしまったパスワード
以前使用しているパスワードを入力してみました。
【日本語訳 (抜粋)】
いや~参ったね、流出しています。
このパスワードは過去に24,574回確認されています。
このパスワードは以前、情報漏えいで使用されたことがあります。
もし、以前にどこかで使用したことがあるなら、変更してください。
なんと、以前使用していた筆者のパスワードは流出済みでした^^; これ、本当に思ってもないパスワードが流出しているんです。過去に「これは上手いこと語呂を考えてパスワードにできたな」と思っていたパスワードも、実は既に流出していることもありました。
2回しか確認されていないので、まだマシと言ったところでしょうか。セキュリティが甘いサイトに登録する時に使ってしまったのかもしれません。ちなみに、流出リストに載っていないパスワードであればその旨も表示されます。
流出していないパスワード
長めのセキュアなパスワードを試しに入れてみました。
【日本語訳 (抜粋)】
朗報です!流出は見つかりませんでした。
このパスワードは流出リストに含まれていません。
ただし、良いパスワードという意味ではなく、単に流出リストにないということです。
メールアドレス流出チェック (';--have i been pwned?)
同様に、こちらではメールアドレスの流出などを調べることができます。メールアドレスが流出していると、フィッシング詐欺の標的になったり、迷惑メールの標的になったり、当然いいことはありません。
フィッシング詐欺
フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザID、パスワードなど)といった重要な個人情報を盗み出す行為のことを言います。
なお、フィッシングは phishing という綴りで、魚釣り(fishing)と洗練(sophisticated)から作られた造語であると言われています。
メールアドレスの漏洩も調べてみて、漏洩しているならメールアドレスの変更を考えましょう。
パスワード管理の決定版はこれだ!
下記は昨今における「パスワードはこう管理しよう」という注意事項を一部一覧にしたものです。
ベストなパスワード管理
- 紙やメモ帳アプリなどに記録しない
- 記号などを含めて複雑に
- 使いまわしをしない
- 2ファクタ認証対応であれば適用
2 まではまだ良いですが、3の使い回しをしないというところ、人間の脳では辛くないですか?確かに、どんなに複雑なパスワードにしていても、セキュリティの甘いサイトに登録したせいで流出したら元も子もないのはその通りなのですが。
ということで、それを解決すべく私が実際に使い始めたアプリ、 1Password を紹介します。
1Password
1Password簡潔に説明すると、メールアドレスやパスワードなどのアカウント情報を勝手に覚えてくれるツールです。必要な時にさっと入力でき、パスワード入力のストレスも軽減されます。
販売代理店
また、パスワードのみならず、機微な情報が含まれているファイルも管理可能です。実際に使っている画面も紹介します。
アカウント情報の入力画面 (PC)
下記の画面のように、入力する候補が出てきます。
アカウント情報の入力画面 (iPhone)
下記のように、対象となるページで入力しようとすると、 FaceID での解除が可能です。一切文字を打たないで、 顔認証によって一瞬でアカウント情報が入力できるのは時間の節約にもなりますし、何よりストレスフリーで良いですよね。指紋認証の端末は、指紋認証での入力が可能です。
パスワードの自動生成
また、パスワードの自動生成機能が備わっています。下記のようなパスワード、とてもじゃないですけど (普通の) 人間なら覚えておけないですよね。でも、 1Password をインストールしておくだけで、このような非常にセキュアなパスワードが全てのサイトで使用できるようになります。
また、このパスワード自動生成機能は、見た目は違いますがスマホでも使用できます。
クレジットカード情報の管理
クレジットカードの番号も保存でき、必要な場合にポップアップが表示されます。
書類 (ファイル) の管理
どこかのサイトに登録する際に、アップロードが必要になるような書類を保存するものいいでしょう。都度カメラで撮ったり、スキャンしたりする必要がなくなります。
余談 (業務で使用)
こちらは余談になりますが、現在、筆者の SRE の業務でも 1Password を使用しています。パスワードの共有が非常に便利です。GCP サービスアカウントの Credential 情報も保管しています。 Excel でパスワードを管理している現場もありましたが、中々辛いものでした。
CLI 機能もあり、コマンドラインベースでの使用もシームレスに行えます。忖度無しで 1Password は大変優秀です。
まとめ
いかがでしたか。唯一無二の複雑なパスワードを、アカウント情報分記憶しておくのは、通常の人間には不可能に近いです。そもそも、そこに労力を注ぐのであれば他のところに使いたいですよね。
何かしらでパスワードが流出して、同じパスワードを他のサイトでも使用している場合、 1Password の年間費用などとは比較にならない甚大な被害も考えられます。 1Password は労力の削減にもなりますし、何より頑強に様々な情報を管理してくれます。
ぜひ導入を検討してみてはいかがでしょうか。