ここから本文です

もう、「パスワードを覚える」のは諦めませんか?

10/11(水) 11:17配信

ITmedia エンタープライズ

 パスワードにまつわる事故は、収まる気配がありません。2017年10月、米Yahoo!のほぼ全てのアカウント数に相当する、30億のアカウント情報が漏えいしていたことが明らかになりました。

あなたに代わって「サービスのパスワードをきっちり覚えてくれる」サービス

 30億件というと大変センセーショナルな数字ですが、これはあくまで2013年8月に起きた情報漏えい事故における過去の調査結果であること、現時点では日本のYahoo!とは無関係であることは頭に入れておいてください。

 ただし、日本人に全く関係ないかというとそうでもなく、写真共有サービスとして優れていた「Flickr」を日本から使うために米Yahoo!アカウントを作った人も多いはず。今回の事件だけでなく、多くのサービスが情報漏えいを起こしていることを考えると、もはやパスワードは“漏えいする前提”で考えるべき時代になったのかもしれません。

●「使い回しをやめよう」といわれても……

 “パスワードが漏えいする前提”で被害を最小限にするためには、全てのサービスで異なるパスワードを使うことが重要で、JPCERTや情報処理推進機構(IPA)がパスワード啓発のキャンペーンを実施しています。話題になったIPAの少女漫画風ポスターを目にした人も多いのではないでしょうか。

 しかし、「パスワードを使い回している人は8割以上」というトレンドマイクロの最新調査からも分かる通り、依然としてパスワードを使い回している人が多いのが現状です。

 だからといって、「パスワードの使い回しをやめれば問題は解決します。明日からすぐにはじめましょう」……と、このコラムを締めくくったところで、それはあまりに非現実的。便利なWebサービスが次々と登場し、管理すべきアカウントが増え続ける中にあっては、むしろ「約2割(正確には14.8%の人)がパスワードを使い回していない」ことのほうが、驚くべきことなのではないかと思うのです。

 利用するサービスは増え続け、それに伴ってアカウントが増えていくのにパスワードは使い回さず、サービスの数だけ用意せよ――。「そんなことを言われても、どう対処していいか分からない!」という人たちに、私からの提言です。もう、パスワードが強いる呪いから一歩降りませんか。もはやパスワードを覚えることは諦める時代が来ているのです。

●パスワードとの付き合い方を変えよう

 パスワードを諦める――といっても、これはネガティブな話ではありません。私が皆さんに提言したいのは、パスワードを自分の頭で覚えることを諦め、「IT」の力を使うということです。

 まだ一般的なものではありませんが、「パスワード管理ソフト」というジャンルのアプリがあります。これは、あなたに代わって「サービスのパスワードをきっちり覚えてくれる」サービスです。既に皆さんも、Webブラウザに内蔵されたパスワード管理ツールを活用したことがあるかもしれません。macOSならばOSの機能として「キーチェーン」がありますし、Android、iOSも同様にパスワードを勝手に管理してくれます。これを活用すれば、極論すると「個別のパスワードは覚えておかなくても、マスターになるパスワードを覚えればいい」ということになります。OS側のロックを行うパスワードこそが、ただ1つだけ覚えるべき最後のパスワードです。

 私は市販の「1Password」を活用しています。このサービスの便利なところは、iOS、Android、Windows、macOSを横断して管理ができること。パスワードだけでなく、マイナンバーカード画像やパスポート画像もまとめて管理できるので、覚えておかなければならない情報は全て1Passwordに入れるようにしています。

 ここまでは「大事なメモを書く手帳」がデジタルになったと考えればいいでしょう。それ以上にパスワード管理ソフトが便利なのは、“今、自分が管理すべきアカウントがどのような状況にあるか”が一目で分かることです。例えば1Passwordには「Watchover」という機能があります。これは、前述した米Yahoo!のように、情報漏えいを起こしたサービスがあれば、パスワードを変えるようにアラートを出してくれる機能です。

 このWatchover機能により、情報漏えいが明らかになったアカウントに関して、パスワードを変えるよう指示が表示されます。さらに、自分が管理しているアカウントのうち「パスワードが弱いアカウント」、使い回しにより「重複するパスワード」も一目瞭然です。アカウント情報を変更していない期間でグルーピングもできるので、やろうとすればパスワードの定期変更も可能です(Watchoverがあるため、その行為は無意味になってしまいますが……)。

●覚えることを諦めれば、パスワードは超強力にできる

 そしてもっと重要なのは、このようなツールを信頼すれば、個別のパスワードを全く覚える必要がなくなるという点です。これまでは「強いパスワードの作り方を覚える」必要がありましたが、もはや自分でも読めない、記憶できないほどの桁数で、数字、文字、記号の全てを使った「Z4ovNYaxVN*@ZPwHcrTTjt8m」というようなパスワードを、パスワードジェネレーターで作り、登録すればいいのです。

 これならば、情報漏えい事件が起きたとしても他のサービスに影響が及ぶことはなく、「パスワードリスト型攻撃」対策が完了します。もちろん、そんなことを人間の頭で行うのは不可能なので、これこそが、パスワードに対する解決策になるのかもしれません。

 1Passwordのほかにも、「LastPass」や「KeePass」などのツールが登場しています。基本的には英語で、有料のものも多いですが、それだけの価値があると私は思っています。私は家族向けの「1Password for Families」を月5ドルほどで契約しており、家族にも使ってもらっています。ITに疎い我が家には最初こそハードルが高かったものの、使い始めると利便性が勝ることを分かってくれたようです。

 「パスワードを使い回すな」というセキュリティ対策は、“根性論で頑張る”のではなくパスワード管理ソフトを使って解決すべきです。このコラムをきっかけに、1日も早く皆さんも「パスワードを“自力で”覚えることを諦めてほしい」と思っています。

Yahoo!ニュースからのお知らせ