先日、Twitterがハッキングを受けた可能性があるということで、多くのユーザーに対してパスワードリセットが行われました。私もその影響を受けて、パスワードの再設定を余儀なくさせられました。せっかくの機会なので、このご時世のパスワード運用についてまとめてみました。
かつてのパスワード運用と、クラッキングの潮流
私は以前、アカウントの重要度に応じて幾つかのパスワードを持っておりました。例えば最重要のGmailや金融系のパスワードは、複雑な10桁程度の組み合わせ。特に重要ではないサービスについては、8桁程度のパスワードとか。ポイントは、アカウントは数多あれど、パスワードは数種類しかないということです。これくらいだったら覚えられます。
しかし、このご時世、そんなパスワード運用していたらダメです!!例えば、同一のログインID・パスワードを複数のサイトで使いまわしていたら、一つのサイトがハッキングされて漏れてしまったら全てオシマイです。今時のハッカーはセキュリティレベルの低いサイトをハッキングして、ID・パスワードを入手したらGoogleやAppleなどメジャーサイトでログインを試すことでしょう。何故なら、アカウント・パスワード使いまわされている可能性が、非常に高いから。
個々のサイト/システムに違うID/Passwordを設定する
ということで、今ではサイトごとに違うID/パスワードを設定することにしています。これしかありません。しかし、使っているアカウントってどれくらいありますか?Gmail,iTunes,Amazon,twitter,Facebookなどのメジャーなサービスから、各種メディアやWebサービス、果ては会社のシステムまで。軽く数十くらいあると思います。そんな沢山のサイトのID/パスワードを個別に設定して覚えてられるでしょうか?私は無理です。もし可能というあなた、その労力を別のことに使った方がよいと思います。
パスワード管理ソフトの勧め
現実的には、パスワード管理系のソフトを使うのが良いと思います。割と種類はありますが、私は1Passwordを使っています。基本的な使い方としては、1Password自体に強固なパスワードを設定して、それだけを覚えているようにします。そして個々のシステムのID/Passwordを登録していきます。登録の際に、Passwordは変更します。ポイントは、1Passwordのパスワード・ジェネレーション機能を使って、システムごとに登録出来る最大文字数のパスワードを作ることです。1Passwordでは50桁までのパスワードを生成出来るので、システム上制約がない場合は50桁のパスワードを利用します。
1Passwordの利点
1Passwordの利点としては、DropBoxを利用することにより複数台のPCやスマフォに同期出来ることです。DropBox上のファイルも暗号化されているので、DropBoxがハッキングを受けてもある程度は安全でしょう。といっても、ローカルだけで運用する場合よりも、危険性はあがります。出来れば同期を避けたいところですが、運用上難しいでしょう。また、ローカルだけの保存の場合は、そのパソコンが壊れた時にどうしようもなくなるという問題点があります。バックアップも兼ねてDropBoxというのは、悪い選択肢ではないと思います。(その場合はDropBoxのパスワードは、覚えておいてくださいねw)
まとめ
今時のパスワード運用の結論としては、専用のアプリを使って個別のID/Passwordを設定しましょうということになります。Googleのような2段階認証プロセスがあるものについては、さらにその設定をしておくのがよいでしょう。システムの潮流としては、今後はOpenIDやOAuth、或いはSSOやADなどで、運用するID自体が少なくするように目指していくでしょう。ただ実際にいつ実現出来るかというと、かなり疑問符が付きます。ということで、まだまだ自衛する必要がありますね。
Dropboxアカウント開設は、こちら!!
Mac版:1Password - AgileBits Inc.
iPhone版:1Password - AgileBits Inc.
