第37回「パスワードはメモすべき?」:研修で教えてくれない!
「仕事中に何書いてるんですか?」「パスワードをメモってるんだ」「パスワードってメモっちゃダメなんじゃないんですか?」――。
大手総合商社・メデア商事――。営業部3課の高柳ワタルは仕事中にもかかわらず、携帯電話に何かを打ち込んでいた。そんな先輩の姿を見た1年目の小林ケンタが、不審に思って近づいてきた。
小林 高柳さん、何やってんですか、仕事中に。
高柳 パスワードをメモってるんだ。
小林 パスワードってメモっちゃダメなんじゃないんですか?
一般的にパスワードは頭の中に記憶しておき、紙などにメモしてはいけないとよく言われている。しかしそれは本当に「正しい」のだろうか?
もちろんパスワードを完全に記憶できるのであれば、メモをしないに越したことはない。しかし現在では、仕事だけでなく、プライベートでもさまざまな場面でIDとパスワードが必要とされ、それらをすべて完璧に記憶しておくほうのは現実的ではない。ではどうしたらよいのだろうか?
小林 う〜ん、確かに僕もいろんなパスワードを設定してますけど、面倒なので結局2〜3種類のパスワードを使い回してます……。それでも忘れちゃうことがあるし……。
高柳 だろ? 人間の記憶だけに頼るのは限界がある。だから「外部記憶装置」として携帯電話のメモを使ってるんだ。
小林 でも携帯電話をなくしたり、誰かに見られちゃったらどうするんですか?
高柳 確かにその危険があるから、一般的にパスワードはメモるなと言われてるんだけど、使い方次第だと思う。
パスワードを管理する上で念頭に置くべきなのは、すべてのパスワードを等価に扱わないということだ。重要度、漏えいした場合の深刻度を考えてレベル分けし、最も機密性の高いIDとパスワードの組み合わせは、一切どこにもメモしない。例えば、オンラインバンキングのパスワードや社内ネットワークに外部から接続するためのIDとパスワードなどは、メモすべきではない。
それ以外のうち、例えば社外からはアクセスできない、つまり社内でしか使えないID/パスワードについては、その文字列の一部、またはヒントになる情報のみを携帯電話のメモに保存しておく。つまり第三者が見ても何を意味しているのか全く分からないようなレベルの情報だけを記録しておくのだ。この場合、もちろん携帯電話にパスワードロックをかけておくことは忘れてはならない。
小林 なるほど……。でもパスワードの一部とかヒントって具体的にはどんなものですか?
高柳 パスワードの決め方にもよるけれど、最初の2文字だけとか、最後の2文字だけとかかな。ほかにはキーボード上で1文字分シフトするなどを決めている場合は、シフトする前の元のフレーズの最初の単語だけとか。
小林 それから、僕がいつも困っているのは、いろいろとネット上でユーザー登録したときのパスワードなんです。これってどうやって管理したらいいんでしょう?
高柳 そのIDはどれくらいの頻度で使ってる?
小林 まちまちです。月に何度も使っているものもあれば、1年に1度かそれ以下くらいのものもありますし。
高柳 月に何度も使うものなら、メモらずに覚えるか、一部を携帯電話にメモるってとこかな。1年に1度使うか使わないかなんてものは、最初から覚えるのを諦めてもいいと思う。
小林 覚えなくていいんですか?
高柳 覚えられるんならそれに越したことはないけれど、滅多に使わないんだったら忘れちゃってもそんなに困らないだろ? 使うときになって、再発行してもらえばいいだけだと思うけど。パスワードの再発行に際して、必要に応じた認証があるわけだし。
高柳先輩のパスワード別管理法 | |
---|---|
金融関係 | 完全に記憶しておく |
社外から社内へのアクセス用 | 完全に記憶しておく |
社内のみアクセス可 | 一部を携帯電話のメモ |
趣味(使用頻度多) | 一部を携帯電話のメモ |
趣味(使用頻度少) | 覚えない(ブラウザに記憶させておくだけ) |
小林 ちょっと目からうろこが落ちた気分です。
高柳 とにかくパスワードと一口に言っても、それぞれ重みが違うんだから、すべてを同じように管理する必要はないってことだ。
著者紹介 山賀正人(やまが・まさひと)
セキュリティ関連の話題を中心に執筆中のフリーライター。翻訳(英語、韓国語)やプログラミング、システム構築などコンサルなど活動は多岐に渡る。JPCERT/CC専門委員。Webサイトはこちら。
関連記事
- 連載インデックス
- 第31回「定期的に変更するための“パスワードを選定するコツ”」
「データベースにアクセスするためのパスワードを忘れちゃって」「年も明けたことだし、この機会にパスワードを変更したらどうだ?」 - 5分で最低限のセキュリティを確保する
3分ではなく5分だが、最低限行っておきたいセキュリティ設定を再確認。ただしWindows向け。 - 第12回「グループ共有パスワードの管理、どうしてる?」
プレゼン資料を作成していたメデア商事の新人・小林ケンタは、ちょうど顧客情報が必要になり、課の先輩・高柳ワタルに相談に行くところである。機密情報にアクセスするにはグループで共有するパスワードが必要になるという。 - 第12回 パスワードの決め方を考える
セキュリティ上重要なので、長く、複雑で、フレーズになっていないパスワードを作ってください。そして定期的に変更してください──。理屈では分かっても、実際に運用するのはたいへんなことだ。実際に使えるパスワードの作り方を考える。 - 誕生日や電話番号以外のパスワードを考える
4桁の数字を決めてください──と言われて、家族の誕生日や実家の電話番号を思い浮かべてしまう方。いろいろな定数を使い、覚えている数字の幅を広げてみては? - 良いパスワードはどうやって作る?
推測されにくく、総当たりされても大丈夫な“良いパスワード”を作るには「キャッチフレーズを日本語でパスワード化する」のが良いのではないか、という読者からの提案がありました。 - 優れたパスワードの選定と記憶法
100個のパスワードを覚える必要はない。100個のパスワードを生み出す1個のルールがあればいい。(Lifehacker)
Copyright © ITmedia, Inc. All Rights Reserved.