パスワードマネージャーを使うのは賢明な選択です。同様に、強力な認証情報でメインのメールアカウントを保護することも重要です。この2つを組み合わせるのは一見良い選択のように思えますが、実際には危険です。パスワードマネージャーからロックアウトされてしまうと、メールアカウントにアクセスできなくなるリスクがあります。また、パスワードボルトが侵害された場合、メールアカウントは不正アクセスに対して脆弱になります。
昨年、この危険性について警告を出し、今月初めにも再度警告しました。多くの読者の皆さんの目に留まりました。特にある読者の方から、非常に的確な質問が寄せられました。「メールのパスワードは記憶しておくべきだとおっしゃっていますが、私は16文字のランダムなパスワードを使っています。2年も経てば覚えられるはずがありません。他に何かアドバイスはありますか?」
幸いなことに、この問題には簡単な解決策がいくつかあります。完璧ではありませんが、安全で、ロックアウト問題からの脱出口となります。まずは最もシンプルな方法、つまり何も覚える必要がない方法から始めましょう。
オプションA: アカウントにパスキーを追加する
パスワードとは異なり、パスキーは少量の暗号化データを使用して認証を容易にします。パスキーの一部はユーザーが所有するデバイスに保存され、残りの部分はユーザーがアカウントを持つサービスまたはアプリによって保管されます。
何も覚える必要はありません。さらに、パスキーはパスワードよりも強力で、フィッシング攻撃にも強いという利点があります。パスキーは保存先のデバイスに紐付けられています。唯一の欠点は、スマートフォンやPCが利用できなくなると、保存したパスキーにもアクセスできなくなることです。しかし、複数のデバイスに複数のパスキーを作成することで、この問題を回避できます。
パスキーをログイン方法として追加することで、現在のパスワード設定をそのまま維持できます。パスワードボルトへの不正アクセスに対する保護は強化されませんが(だからこそ二要素認証は必須です)、メールにログインする別の方法が得られます。
オプションB: パスフレーズに切り替える
ウェブコミック xkcd によって普及したこのパスワードのバリエーションでは、無関係な単語を組み合わせて、ランダム性と一意性の必要な組み合わせを作成します。
このように複数の単語を組み合わせると、ランダムに生成されたパスワードよりも覚えやすくなります。特に、思い出しやすいように物語を作ったり、他の記憶術を使ったりできる場合はなおさらです。また、パスフレーズの強度は単語の組み合わせのランダム性に依存しているため、特殊文字や数字を追加する必要はありません。実際、ランダムに挿入されない限り、特殊文字や数字を追加すべきではありません。ランダムに挿入されたパスワードは覚えにくくなります。
xkcd
本当に効果的なパスフレーズを作成するには、アプリ内またはオンラインツールでパスワードマネージャーのジェネレーターを利用できます。(まだパスワードマネージャーをお持ちでないですか?必要な場合は、おすすめのパスワードマネージャーをご紹介します。)少なくとも4語、できれば6語(またはそれ以上)を目安にしてください。パスワードまたはパスフレーズが長いほど、強力になります。
(大まかな目安として、大文字、数字、特殊文字を含む 16 文字のランダム パスワードを 6 語のパスフレーズに置き換えると、ほぼ同等の強度が得られます。パスワードの利点は、パスフレーズに比べて短い長さでより多くのエントロピーを格納できることです。)
オプションC: 覚えやすいパスワードを使用する
ほとんどの人にとって、このオプションは簡単とは言えません。したがって、ここでは記憶に残るというのは非常に相対的な言葉です。
上記の他の方法と比較すると、この方法ははるかに高いレベルの記憶力を必要とします。しかし、脳の働き方によっては、無関係な単語の羅列を思い出すよりも簡単だと感じるかもしれません。また、パスキーがサポートされておらず、文字数制限によってパスフレーズの有効性が損なわれる場合には、必要悪となることもあります。
ここでの基本的な考え方は、自分だけが知っている(そして誰も推測できない)文章や長いフレーズをベースに、大文字、数字、特殊文字を追加することで、独自のランダム性を作り出すことです。歌、映画、キャッチフレーズ、小説などをそのまま引用するのは避けましょう。引用文の一部をそのまま使ったり、有名な引用文から抜粋したりすると、誰かがパスワードを推測してしまう可能性があります。
ビットワーデン
この方法の分かりやすい例としては、記憶の中に既にあるありふれた事柄をベースに、他人には決して組み合わせて話さないような意味不明な文を作ることが挙げられます。例えば、通勤中に段ボールの山を通り過ぎたり、バス停にはおしゃべりなハトの群れがいつも集まっていたり、「slurry(スラリ)」という言葉が頭の中で頻繁に浮かんだりする、といった状況です。(最後の例については、どうぞご笑覧ください。)
ここから、「茶色の段ボールがスラリーの上の鳩にクーと鳴く」という文章を、自分だけのパスフレーズとして使うこともできます。あるいは、複雑なパスフレーズがお好みなら、記憶にある他の情報に基づいて数字と特殊文字を、その位置に合わせて入力することもできます。(この記事の趣旨とは反しますが、皆さんの楽しみを邪魔する私がいるでしょうか?)
この例では、お気に入りのアイスクリーム店の近くの角にある建物番号と、見た目が気に入っている「%」記号を選びます。次に、あまり一般的ではない場所なので、特殊文字を先頭に付けます。そして、この架空のメールアカウントは私がこれまでに作成した2番目のメールアドレスなので、2番目の単語の後に数字を付けます。
%Browncardboard355coostothepigeonontheslurry
ビットワーデン
パスワードを短くしたい場合は、各単語の最初の文字(または最後の文字、3番目の文字など)だけを使うことができます。大手メールプロバイダーでは好きなだけ長いパスワードを作成できるため、最近ではこの方法はあまり必要ありません。しかし、この方法を銀行口座(メールではなく)に使うとします。銀行口座は16文字までしか使えません。
前述の通り、パスフレーズは16文字だけではそれほど強力ではなく、パスキーをサポートしている銀行もほとんどありません。この架空の文の各単語の最初の文字を抜き出すと、次のようになります。
%Bc355cttpots少し短く、明らかに安全性が低いので、少しスパイスを加えて「この銀行は最悪だ」からさらに3文字追加します。
%Bc355cttpotstbsついに、覚えられる強力なパスワードができました…ただし、何度も繰り返し入力すれば、パスワードが定着します。パスキーが普及するまで、みんなで暴動を起こすべきです。
