各サービスで、ランダム性のある十分な長さのパスワードをそれぞれ使用すれば、定期的なパスワード変更はもはや不要です。むしろ変更する労力や、単純なパスワードにしたり、メモして放置したりするリスクの方が大きいでしょう。
しかし、十分に強いパスワードを作って定期的に変更すること自体がダメなわけではありません。実際その方がセキュリティは向上するはず。ただ、現状はそこまでする必要はないといえます。
自分でパスワードを作成・管理せずに、道具に任せてしまうのも1つの方法です。今ではWebブラウザにパスワードを記憶させる機能があります。ただし、認証する先がブラウザで使うサービスでないと利用できず、複数の端末にまたがって利用するにはコピー作業が必要です。
パスワード管理アプリ・サービスを使用するのも選択肢としてアリです。信頼できる事業者のものを選べば、パスワードを書いたメモ帳を管理するのと同じです。
ブラウザに覚えさせるにせよ、パスワード管理アプリ・サービスに覚えさせるにせよ、そこにアクセスするためのマスターパスワード(ブラウザの場合はその端末の起動・ロック解除パスワード)だけは、きちんと作成し、管理しておきましょう。
サービス側には、文字数・文字種制限のない環境を用意する他に、もう一つお願いがあります。それは、パスワードをそのまま保管しないでほしい、ということです。パスワードリストのデータが漏えいしないようにするのは当たり前ですが、万が一漏えいしたとしても簡単には使えないようにしておいてほしいのです。
要は、不正利用者がパスワードデータを手に入れたとしても、元のパスワードが分からないようにしてほしいのです。当たり前に思えますが、この対策をしていなかった事業者からの漏えい事件もあったので、念のため。
また長大なパスワードでも、ハッシュ化することで管理するデータの長さが短くなり、容量を圧迫しないで済むようになります。ハッシュ化と暗号化の違いや方法についてはここでは触れませんが、興味のある方は調べてみてください。
最後にサイト利用者に気を付けてほしい点ですが、「https」になっていない「http」のサイトでのパスワード入力は避けた方がいいです。パスワードに限らず、住所や電話番号、クレジットカード番号など、他人に知られたくない情報の入力も含みます。
「http」のサイトでは通信の内容が暗号化されていませんので、ネットワーク上で傍受された場合、その内容を盗み見されてしまいます。
また「https」であったとしても、そのサイトがフィッシングサイトの可能性もあります。メールやメッセージなどで通知されたURLから開いたサイトを利用すること自体を避けた方が無難です。URLは巧妙に細工されており、目視では本物か偽物か判別できないかもしれません。
以上、パスワードのハナシでした。パスワードはみんなが使っているだけあって、いろいろなところで書かれていることの集大成な記事となってしまいました。「まとめ記事」としてご利用いただけると幸いです。
次回は、あまり知られていないであろうパスワード以外の知識認証についてのハナシをします。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR