簡単なパスワードを設定しない

---

　基本的なことですが、大切なことです。ところで、簡単なパスワードとは何でしょう？それは、辞書に載っている単語や数字の並び順の羅列です。流出したパスワードを調査した米国の事例がありますので、見てみましょう。

最も安易なパスワードは？　流出情報の分析結果を発表　

1.「123456」
2.「12345」
3.「123456789」
4.「Password」
5.「iloveyou」
6.「princess」
7.「rockyou」
8.「1234567」
9.「12345678」
10.「abc123」

　トップ10のうち、半数が数字の並びが占めていることが解ります。ハッカーは当然ながらこの傾向を知っていますので、アタックの際の試行を試すことでしょう。とは言っても覚えられないよという人は多いと思います。生成例としては、単語と単語を結ぶ。さらにその間に数字を挟むなども、良いかもしれません。
例）princess0515baseball

パスワードの使い回しをしない

---

　次に、というより一番大事になってきたのが、パスワードの使い回しをしないということです。最近の傾向としては、別のシステムで漏洩したID,Passwordを利用して、色々なシステムでログイン試行をするものです。一昔前は強固なパスワードを１つ作って暗記して、全てのシステムで使いまわすというのが多かったかと思います。今では、まったく通用しません。同一のパスワードを使いまわすぐらいだったら、メモして保管しておく方がよっぽどましという状況にチェンジしています。
　となるとどうするか？ルールベースで、システム名＋共通のパスワードの組み合わせというのも1つの手です。もう1つは人間系の管理を諦めて、パスワード管理ツールを導入するというのも1つの手です。私は以前エントリーを上げましたが、1passwordを使って全て管理しています。

2要素認証（２段階認証）の設定が出来るものは、必ず設定する

---

　最後に2要素認証（２段階認証）出来るものは全部設定していましましょう。Googleを始め大手のサービスでは、設定出来るものが増えて来ました。また、以前は専用のハードウェア・トークンを購入する必要があったのですが、今でだとスマフォで使える無料のソフトウェア・トークンがあります。（Google Authenticatorなど）
　2要素認証の生成キーを盗み出してハッキングするという手法もありますが、現状では個人のID,Passwordを盗む為にそこまでコストをかけないと思います。というところで、当面のところは最も有効な手段の1つだと思います。

1passwordに対する補足

---

　1passwordを勧めると、2つの懸念を提示されることがあります。一つ目は、インターネット同期をすれば1passwordのサービス側にパスワードを知られるにではないかという懸念です。これは誤解です。1passwordのインターネットの同期機能は、利用者側がDropboxなどの同期先のサービスを選択します。サービス側（1password）としては、利用者のインターネット上のパスワードにアクセス出来ません。
　2つ目は、インターネットを利用してのパスワード同期すること自体の危険性です。これについては、ある一定のリスクはあります。同期先に利用したDropbox等がハッキングされる可能性も充分ありえます。そこは、利便性とリスクを考えた上で、利用者自身に判断していただく必要があります。私は複数台のPC、スマフォを利用する都合上、同期のリスクをとっています。（一応、パスワードファイルはマスター・パスワードを使って暗号化はされています。）
　書いているうちに、1password自体が悪意のある会社になったらどうするのかという点も気が付きました。ここも信用次第ですね。現在のように伸び盛りの間はよいですが、落ち目になってオーナーチェンジが繰り返されたら、引越しも考えた方が良いでしょう。

まとめ

---

　残念ながら対岸の火事ではなくなったセキュリティ問題。私は関係ないと思わずに、早いうちから対策を考えましょう。何と今なら、1passwordが期間限定で半額キャンペーン中というステマで終わらせて頂きます。

See Also:
AWSの２段階認証 Multi-Factor Authentication（MFA）を導入する
今時のパスワード運用の仕方。或いは1Passwordの勧め。