パスワードを紙で保存するのは危険？ Twitter上で賛否 安全な管理方法をIPAに聞いた

[松浦立樹，ITmedia]

　パスワード管理を巡って、とあるメモ帳がTwitter上で話題になっている。サイト名やID、パスワードを記載する項目があり、紙媒体でパスワード管理するための商品であることが見て取れる。投稿者がこの商品について問題提起したところ、他ユーザーから賛否両論のさまざまな意見が飛び交っている。

　話題の商品は、手帳やノートなどのメーカーであるダイゴー（大阪市西区）が販売している「ID・パスワードブック」というメモ帳とみられる。2020年9月から販売されており、商品概要では「パスワード忘れやPCの故障やスマートフォンの紛失など、もしもの時に備えて記録しておくと便利」と紹介している。

ダイゴーのプレスリリースから引用

　このメモ帳を取り上げたツイートには8日午前11時半時点で、1万件以上のRTと約7.3万いいねが付き、大きな反響を集めている。ユーザーからは「やばすぎ、セキュリティとは」や「オシャレな情報漏えい」「大切なパスワードをまとめて他人に渡す便利グッズ」などサイバーセキュリティの観点で利用に疑問視する声が見られる。

　一方、「電子データで作るより安全そうではある」や「普通に買いたい」「大切に保管する分には良いかと」「私は一周回って紙に残すようにした」など肯定する意見もみられた。

安全なパスワード管理の方法とは？　IPAに聞いた

　では安全にパスワードを管理・保存するには一体どうすればいいのか。ITmedia NEWSは情報処理推進機構（IPA）に話を聞いた。まず話題になっているID・パスワードブックの使用を推奨できるか聞いたところ「IPAは特定の商品を推奨する立場にないため、コメントはできない」としつつも「管理方法としては必ずしも紙を否定はしていない」との回答があった。

　IPAが2016年8月3日に発表した「安心相談窓口だより」では、不正ログインを防ぐためにパスワードの使い回しはせず、できる限り長く、複雑にすることを推奨。使い回しを回避する方法の一つとして「コアパスワードの作成」を案内している。これは、自分が決めた短いフレーズに任意の変換ルールを適用して、覚えやすく強度の高いパスワードを作成する手法だ。

　例えば、「テレビが好き」というフレーズをパスワードにする場合、これをローマ字に変換すると「terebigasuki」となる。この文字列の一部を大文字や記号、数字に置き換えたり、追加したりする。例えば「terebiGAsuki」や「terebigasuki!!06」などが挙げられるが、このうち「terebigasuki!!06」をコアパスワードとする。

コアパスワードの作成例

　次は、各サイトやサービスに使う短い文字列を決める。例えば「IPAメール」というサービスならば「IPA」のような文字列だ。このように各サービスの識別子を決めて、コアパスワードと組み合わせることで、IPAメールなら「ipaterebigasuki!!06」という19文字のパスワードができる。他サービスの場合は「IPA」の部分だけ変えることで覚えやすく、ある程度の長さを持つパスワードを管理できる。

識別子をコアパスワードの前に追加した例

　この管理方法についてIPAは、コアパスワードのみを暗記し、各サービスの識別子を電子ファイルや紙で記録することを推奨している。「万が一識別子を記録した電子ファイルの流出や紙を紛失した場合でも、その情報だけでは悪用できないため不正利用の被害にならずに済む」（IPA）

　また、パスワード管理ツールについてもIPAに聞いたところ、「IPAとしては推奨していないが否定もしない」と回答した。