パスワード管理の方法あれこれ
ネットを長く使ってると厄介なのが、どんどん増えていくアカウントとパスワード。
これの管理というのはセキュリティの基本らしいので、管理方法を挙げてそれぞれについてちょっと考えてみる。
パスワード管理ソフトを使う
- 長所
- 管理しやすい
- 短所
- 使い勝手やセキュリティ強度がソフトに依存
個人的には、パスワード管理ソフトはどれもこれも使いにくかった。結局マスターパスワードを盗まれたら終わりだし、手間の割にセキュリティ強度が低いような気もした。
全部覚えておく
- 長所
- セキュリティ的に完璧
- 短所
- 数が多いと実現不可能
頭の中にだけ保存する理想的な管理方法。
全部統一してしまう
- 長所
- 頭の中にだけ保存しておける
- 設定・入力に手間がかからない
- 短所
- 一度盗まれると被害拡大の危険がある
- 変更が大変
あっちのサイトもこっちのサイトも全部同じパスワードにする。これなら全部覚えておける。
「盗まれるリスク」は低めだが「盗まれた場合のリスク」が高いのが特徴。よくセキュリティ的にダメな例として挙げられる方法だが、単純だし、利便性とのバランスから考えてそれほど悪い方法ではないと思う。
以下のような方法で強化も可能。
ハイリスクなサイトとローリスクなサイトで分ける
パスワードが2種類以上になってしまうが、銀行などの重要なパスワードと普通のWebサービスで別のパスワードを覚える。
紙に書いて手元に置く
- 長所
- オンラインで盗まれにくい
- 短所
- オフラインで盗まれやすい
年配の人に多い方法。付箋や手帳などにメモしてPC周りや懐にしまっておく。
笑う人もいるかもしれないが、リアルに安全な場所でしかネットを利用しないのであれば、これが一番簡単で確実。というか、券面記載の情報だけで使えるクレジットカードなんかを考えれば、これ以上厳しくしてもさほど意味が無いとさえ言える。
物理的に盗まれたり覗き見られたりするリスクを回避したいのであれば、以下の強化方法がある。
不要な文字列を組み込んでメモする
たとえば「password」というパスワードだったら、メモには「qpwaesrstwyourid」と書いておく。これはメモの中で「偶数番目の文字」がパスワードになっている例。覗き見程度ならまず覚えられない。利便性は落ちるが、電話番号などでピックアップすると時間をかけても解読されにくくなる。
QRコードにしておく
パスワードをそのままではなく、QRコードに変換して、必要な時には携帯で読み取る。覗き見では絶対盗めない上、名刺裏などに印刷しておけばパスワードのメモだということも気付かれない。携帯が必要な時点で結構な手間になるのが難点。
共通の部分を省いてメモする
上記の統一パスワードとのハイブリッド方式。
全てのパスワードに自分にしか分からない文字列を組み込み、メモにはその部分は書かないでおく。たとえば、パスワードを「toppoumai」「oreoumai」などにし、メモには「toppo」「oreo」とだけ書く。
共通部分を前後に付けるなど、工夫次第でかなり強力になる。
パスワード表を別に作る
- http://www.ilovex.co.jp/blog/system/distributionsystem/post-20.html
- http://jp.messaliberty.com/2009/11/store-your-passwords-in-plain-text-in-your-wallet-stuck-to-your-monitor-and-on-your-iphone/
パスワード表を別に作り、その開始位置・文字数などだけメモ(or記憶)しておく方法。更に自分しか知らない文字列を付け加えるようにすれば完璧。パスワードの変更も開始位置を変えるだけなので楽にできる。
基本パスワードが存在しないので、強力さだけで言えばかなりのものになる。
まとめてテキスト保存
一番危険だが一番管理しやすい方法。
- 長所
- 管理しやすい
- 短所
- 非常に盗まれやすい
- 盗まれた場合の被害も大きい
- コピペすればクリップボード履歴にまで残る
ウイルスやフィッシングはもちろん、他人が操作するだけでもあっさり全てのパスワードが盗まれてしまう。
もはや「盗まれないから大丈夫」とか「盗まれたっていいよ」というレベルなので、ある程度工夫が必要。
まとめ
基本的に、セキュリティ重視なら一定の条件を付けて紙に書いておくのが最善。
一方で、リスクの低いサイトなら、統一パスワード(の強化版)で十分。
どんな方法をとるにしろ、直接パスワードを教えてしまうフィッシングサイトには無力なので、そっちの方に注意すべきか。