強力なパスワードを作る法則とは？ 意外と知らない「パスワード」のハナシ：今さら聞けない「認証」のハナシ（4/4 ページ）

私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは知識認証の代表格である「パスワード」のハナシ。

[パスロジ，ITmedia]

パスワードの定期変更ルールは不要？

　各サービスで、ランダム性のある十分な長さのパスワードをそれぞれ使用すれば、定期的なパスワード変更はもはや不要です。むしろ変更する労力や、単純なパスワードにしたり、メモして放置したりするリスクの方が大きいでしょう。

　しかし、十分に強いパスワードを作って定期的に変更すること自体がダメなわけではありません。実際その方がセキュリティは向上するはず。ただ、現状はそこまでする必要はないといえます。

パスワードを他の人に見られないように管理しよう（画像はせぐなべより転載）

もはや自分でパスワードを覚えない！　のもアリ

　自分でパスワードを作成・管理せずに、道具に任せてしまうのも1つの方法です。今ではWebブラウザにパスワードを記憶させる機能があります。ただし、認証する先がブラウザで使うサービスでないと利用できず、複数の端末にまたがって利用するにはコピー作業が必要です。

　パスワード管理アプリ・サービスを使用するのも選択肢としてアリです。信頼できる事業者のものを選べば、パスワードを書いたメモ帳を管理するのと同じです。

　ブラウザに覚えさせるにせよ、パスワード管理アプリ・サービスに覚えさせるにせよ、そこにアクセスするためのマスターパスワード（ブラウザの場合はその端末の起動・ロック解除パスワード）だけは、きちんと作成し、管理しておきましょう。

漏えいに備える？　サービス側の管理方法

　サービス側には、文字数・文字種制限のない環境を用意する他に、もう一つお願いがあります。それは、パスワードをそのまま保管しないでほしい、ということです。パスワードリストのデータが漏えいしないようにするのは当たり前ですが、万が一漏えいしたとしても簡単には使えないようにしておいてほしいのです。

サービス側のパスワード管理の注意点

• パスワード情報を隠して保管する
• パスワード情報をそのまま保管しない。ハッシュ化・暗号化して保管する
• ハッシュ化・暗号化の方法に独自性を組み入れる

　要は、不正利用者がパスワードデータを手に入れたとしても、元のパスワードが分からないようにしてほしいのです。当たり前に思えますが、この対策をしていなかった事業者からの漏えい事件もあったので、念のため。

　また長大なパスワードでも、ハッシュ化することで管理するデータの長さが短くなり、容量を圧迫しないで済むようになります。ハッシュ化と暗号化の違いや方法についてはここでは触れませんが、興味のある方は調べてみてください。

ユーザーとサービスの間のパスワードの状態

　最後にサイト利用者に気を付けてほしい点ですが、「https」になっていない「http」のサイトでのパスワード入力は避けた方がいいです。パスワードに限らず、住所や電話番号、クレジットカード番号など、他人に知られたくない情報の入力も含みます。

　「http」のサイトでは通信の内容が暗号化されていませんので、ネットワーク上で傍受された場合、その内容を盗み見されてしまいます。

　また「https」であったとしても、そのサイトがフィッシングサイトの可能性もあります。メールやメッセージなどで通知されたURLから開いたサイトを利用すること自体を避けた方が無難です。URLは巧妙に細工されており、目視では本物か偽物か判別できないかもしれません。

　以上、パスワードのハナシでした。パスワードはみんなが使っているだけあって、いろいろなところで書かれていることの集大成な記事となってしまいました。「まとめ記事」としてご利用いただけると幸いです。

　次回は、あまり知られていないであろうパスワード以外の知識認証についてのハナシをします。