　パスワードを変更しなければならないときというのは、単純に「パスワードが第三者に漏れてしまった」ときです。その際は“すぐに”変更しなければ危険ですので、定期的にではなく「パスワードの漏えいが発覚したときに」変えればいいわけです。Webサービスを運営していてパスワードが漏えいしたら、その時点で利用者に通知されるはずです。

　それにもかかわらず定期変更を促すということは、「自分たちがいつ攻撃を受けてパスワードを盗まれたか分からない」と宣言しているに近い行為ともいえます。この「パスワードは定期的に変更してください」という文言は「私たちはパスワードに対して無頓着です」と言っているようなものなのです。

　同様に、パスワードに対する考え方の表れは、パスワードの「制限」にも現れます。例えばパスワードの長さがたった8文字しかなかったり、大文字限定で入力させたりするのはあまり褒められたものではありません。

　これまでであれば、大文字小文字を混在させるだけでなく、数字や記号を入れるのがトレンドでしたが、これも強要すべきことではありません。現在ではパスワードよりも自然な言葉を複数並べることで強度を高める「パスフレーズ」の利用も普及しつつあります。

　この場合、パスワードの長さは64文字程度は必要です。いまだに8～12文字しかパスワードとして設定できない場合、サービス運営者が「パスコードを知らない＝セキュリティのトレンドに乗り切れていない」と判断ができるでしょう。

　そのほか、「あえてパスワードを忘れたときのフローを試してみて、パスワードそのものがメールで送られてこないことを確認する」ことや、「ID登録時に本人確認のためのメールを送信してくる」などのフローを確認し、問題がないかを確認するのもいいかもしれません。

「お金」に絡むサービスに対しては保守的でも問題なし

　個人的には、「お金」に絡むサービスには保守的です。どんなに便利なサービスが出たとしても、そのリスクを考え、利用には慎重になることを心掛けています。実際に利用した人たちがどのような反応をしているかや、どんなリスクが存在するのかを把握してからでも遅くはないでしょう。「いますぐやらないと損！」と煽るようならなおさら時間をかけるべきだとも思っています。

　今回は一般的な、Webサービスの外から見えるチェックポイントを紹介しました。もちろんこれ以外にも、各サービスの利用規約やプライバシーポリシーも確認する必要があるでしょう。しかし、分かりにくい表現になっていることが多く、一目では理解するのが難しいのが実情です。もし「パスワードは定期変更しましょう」という文言があったり、そもそもHTTPSに対応していなかったりするなら、私はその時点で利用しないと判断します。

　きっとそれ以外にも、たくさんのチェックポイントがあるのではないかと思います。皆さんの厳しい“視点”もぜひ知ってみたいですね。

「VALU」やめました　やめるのは、とても大変でした
話題のネットサービス「VALU」を安易に始めてしまい、やめるまで四苦八苦した筆者の実録。
「CASHってアプリどう思う？」――質屋のパパに聞いてみた
最近話題の“質屋アプリ”と呼ばれる「CASH」について、東京・谷中で質屋を営むパパに話を聞いた。
「マイナンバーカード」がなかなか普及しない理由
マイナンバーとマイナンバーカードの違い、分かりますか？　それぞれ何ができるのか解説します。
満員電車は危険がいっぱい？　実は深刻なスマホの“のぞき見”
あなたも知らないうちに「ハッキング」をしているかも？
私たちはネットの「デマ」や「フェイクニュース」とどう付き合うべきか
ネットを騒がせる「フェイクニュース」の存在。私たちは情報とどう付き合っていけばいいのでしょうか。