インターネットが登場する前は、パスワードは日常生活においてほんのわずかな役割しか果たしていませんでした。考えてみてください。ATMの暗証番号を除けば、覚えておく必要のある重要なコードは何だったでしょうか?おそらく一つもなかったでしょう。しかし今では、リンクをクリックすれば必ずパスワードを要求する別のサイトへとアクセスしてしまいます。Google DocsやMint.comのような有名なサイトでも、地元の図書館や会社のイントラネットのような小規模でプライベートなサイトでも、関係ありません。入りたいですか?パスワードをください。
ほとんどのユーザーにとって、これは2つの大きな課題をもたらします。ハッカーに盗まれにくく、かつ覚えやすいパスワードを作成すること、そしてそれらを安全かつ便利な方法で管理することです。(正直に言うと、すべてのパスワードを覚えることは不可能です。何らかの方法で整理することが不可欠です。)
こうした障害があるため、多くのユーザーはパスワードをうまく管理できていません。幸いなことに、セキュリティ上の問題を抱えたパスワードの使い方を変えるのは難しくありません。まずは、安全なパスワードとは何かを見てみましょう。
良い「言葉」
昨年、ハッカーたちはGizmodoやLifehackerといった人気ウェブサイトから数十万件ものユーザーパスワードを盗み出し、オンライン上に公開しました。ウォール・ストリート・ジャーナルがこれらのパスワードを分析したところ、最も多く使われていたパスワードはパスワードと呼べるものではなかったことが判明しました。
- 123456
- パスワード
- 12345678
- ライフハック
- QWERTY配列
恥を知れ、恥を知れ。しかも事態はさらに悪化している。セキュリティ企業Sophosが2009年に実施した調査によると、全ユーザーの3分の1がオンラインでのあらゆる活動に同じパスワードを使用しているという。つまり、ハッカーが1つのサイトのパスワードを入手すれば、あなたが利用する他のすべてのサイトのパスワードも入手できてしまうということだ。
そのため、アクセスするサイトごとに異なるパスワードを使用することが重要です。ハッカーは特別なパスワード解読ソフトウェアを使ってアカウントに侵入するため、「123456」や犬の名前を使うことはできません。(あの音は、ハッカーが銀行に来るまでずっと笑っている音です。)
では、安全なパスワードとは一体何でしょうか?そして、それぞれのオンラインサイトに適したパスワードをどうやって見つければいいのでしょうか?自動と手動の2つの選択肢があります。まずは手動から始めましょう。
自分で作るパスワード
パスワードは長いほど効果的です。ほとんどのサイトでは少なくとも6文字が必要ですが、10文字や12文字に伸ばすことができれば、セキュリティレベルが数桁向上します。(文字数が多いほど、パスワードの組み合わせが増えるため、解読が難しくなります。)
また、大文字と小文字、少なくとも1つの数字、そしてシステムが許可する場合は記号を組み合わせることも重要です。例えば、「password」という単語が最悪のパスワードであることは分かっていても、「p」を大文字にし、いくつかの文字を数字に置き換え、記号を加えることで、大幅に改善することができます。例えば、以下のような感じになります。
P4ssw0rd#
もちろん、だからといってサイトごとに異なるパスワードを使う必要性がなくなるわけではありません。一つの有効な方法は、サイト名から始めて、それを基にパスワードを作ることです。例えばNetflixなら、「e」を「3」、「i」を「1」に置き換えて、N3tfl1xというパスワードを作ります。あとは、パスワードをパーソナライズするだけです。例えば、先頭に自分のイニシャルを付け、最後を反転させるなどです。つまり、私のNetflixのパスワードは(おそらくそうではありませんが)rbN3tfl1xbr になるかもしれません。
同じ方法を(例えば)PCWorld.comのオンラインフォーラムに適用すると、私のパスワードはrbPCW0r1dbrになります。これは11文字で、大文字と小文字、そして少しの数字が含まれています。Microsoftのパスワードチェッカーによれば、これ以上に解読困難なパスワードは他にありません。このツールは、入力したテストパスワードに基づいてパスワードの強度を評価します。(ちなみに、Microsoftは14文字以上のパスワードを推奨しています。)
このアプローチの良いところは、覚えやすいことです。サイト名、いくつかの文字と数字の入れ替え、そして接頭辞と接尾辞に自分のイニシャルを使うだけです。
とはいえ、パスワードを記憶しておくことは戦いのもう半分です。だからこそ、何らかの自動化ソリューションが大きな助けとなるのです。特に、パスワードを管理したり、移動させたりしたい場合、非常に便利です。
パスワードマネージャー
安全なパスワードを考えるのが面倒な方もご安心ください!その両方を実現できるプログラムやサービスはたくさんあります。LastPassやRoboFormなどのパスワードマネージャーは、アクセスするサイトごとに、ハッキングされない固有のパスワードを生成し、それを記憶して、次回アクセスするたびにパスワード欄に入力するだけです。必要なのは、マネージャーにアクセスするためのマスターパスワードを1つ覚えておくことだけです。つまり、1つのパスワードですべてのサイトを管理できるのです!
どちらのツールもWebブラウザに直接統合されていますが、Webパスワード以外にも使える、高度に暗号化されたデスクトップ「金庫」プログラムも付属しています。例えば、私は家族の社会保障番号、マイレージ会員情報、ソフトウェア登録コード、さらにはクレジットカード番号まで保存しています。(オンラインで買い物をすることが多いので、財布を探してカードを取り出し、番号を手入力するよりも、コピー&ペーストの方がずっと簡単です。)
こうしたデータはポケットに入れておけると便利なので、多くの人がパスワードなどを携帯電話に保存しています。しかし残念ながら、こうした情報はメモやノート、連絡先など、セキュリティの低い場所にしまい込んでしまう傾向があります。もし携帯電話を盗まれた場合、犯人はあなたの秘密情報に簡単にアクセスできる可能性があります。
問題ありません。スマートフォンと同期できるパスワードマネージャーを選ぶだけです。LastPassとRoboFormはどちらもBlackBerry、Android、iPhone、Windows Phone向けのコンパニオンアプリを提供していますが、プレミアム版にアップグレードする必要があります。RoboForm Everywhereは初年度約10ドル、その後は約20ドルです。LastPass Premiumは年間12ドルです。
新たなサブスクリプションには興味がない? Ilium SoftwareのeWalletを試してみてください。Windows版は約20ドル、iOSアプリは約10ドルです(Android版は現在無料です)。お気に入りのサイトにアクセスした際にパスワードを自動で貼り付ける機能は唯一ありません。SplashDataのSplashID Safeも同様で、Windows版は約20ドル、AndroidまたはiOS版は約10ドルです(どちらのプログラムも他のモバイルプラットフォームでも利用可能です)。
最後に、無料オプションもお忘れなく。KeePassは、パスワードの生成、整理、入力ができる人気のパスワードマネージャーです。様々なバージョンが出回っているため、私がこれまで使った中で最もユーザーフレンドリーなツールとは言えませんが、価格は妥当です。残念ながら、モバイル用の公式コンパニオンアプリはなく、KeePass自体と同様に、サポートが不足している自作アプリしかありません。
ここまで面倒に思えるなら、ExcelやGoogleドキュメントで簡単なスプレッドシートを作成し、そこにパスワードを記録しておくのも良いでしょう。基本的な管理ができて、必要な時に簡単にパスワードをコピー&ペーストできます。もちろん、これらのファイルが悪意のある人物の手に渡るのは避けたいので、Excelファイル(そしてその他の機密性の高いファイル)は必ずパスワードで保護してください。Googleドキュメントをご利用の場合は、パスワードを忘れないようにご注意ください。
