パスワードを紙で保存するのは危険? Twitter上で賛否 安全な管理方法をIPAに聞いた
パスワード管理を巡って、とあるメモ帳がTwitter上で話題になっている。メモ帳には、サイト名やID、パスワードを記載する項目があり、紙媒体でパスワード管理するための商品とみられる。これについて、賛否両論のさまざまな意見が飛び交っている。
パスワード管理を巡って、とあるメモ帳がTwitter上で話題になっている。サイト名やID、パスワードを記載する項目があり、紙媒体でパスワード管理するための商品であることが見て取れる。投稿者がこの商品について問題提起したところ、他ユーザーから賛否両論のさまざまな意見が飛び交っている。
話題の商品は、手帳やノートなどのメーカーであるダイゴー(大阪市西区)が販売している「ID・パスワードブック」というメモ帳とみられる。2020年9月から販売されており、商品概要では「パスワード忘れやPCの故障やスマートフォンの紛失など、もしもの時に備えて記録しておくと便利」と紹介している。
このメモ帳を取り上げたツイートには8日午前11時半時点で、1万件以上のRTと約7.3万いいねが付き、大きな反響を集めている。ユーザーからは「やばすぎ、セキュリティとは」や「オシャレな情報漏えい」「大切なパスワードをまとめて他人に渡す便利グッズ」などサイバーセキュリティの観点で利用に疑問視する声が見られる。
一方、「電子データで作るより安全そうではある」や「普通に買いたい」「大切に保管する分には良いかと」「私は一周回って紙に残すようにした」など肯定する意見もみられた。
安全なパスワード管理の方法とは? IPAに聞いた
では安全にパスワードを管理・保存するには一体どうすればいいのか。ITmedia NEWSは情報処理推進機構(IPA)に話を聞いた。まず話題になっているID・パスワードブックの使用を推奨できるか聞いたところ「IPAは特定の商品を推奨する立場にないため、コメントはできない」としつつも「管理方法としては必ずしも紙を否定はしていない」との回答があった。
IPAが2016年8月3日に発表した「安心相談窓口だより」では、不正ログインを防ぐためにパスワードの使い回しはせず、できる限り長く、複雑にすることを推奨。使い回しを回避する方法の一つとして「コアパスワードの作成」を案内している。これは、自分が決めた短いフレーズに任意の変換ルールを適用して、覚えやすく強度の高いパスワードを作成する手法だ。
例えば、「テレビが好き」というフレーズをパスワードにする場合、これをローマ字に変換すると「terebigasuki」となる。この文字列の一部を大文字や記号、数字に置き換えたり、追加したりする。例えば「terebiGAsuki」や「terebigasuki!!06」などが挙げられるが、このうち「terebigasuki!!06」をコアパスワードとする。
次は、各サイトやサービスに使う短い文字列を決める。例えば「IPAメール」というサービスならば「IPA」のような文字列だ。このように各サービスの識別子を決めて、コアパスワードと組み合わせることで、IPAメールなら「ipaterebigasuki!!06」という19文字のパスワードができる。他サービスの場合は「IPA」の部分だけ変えることで覚えやすく、ある程度の長さを持つパスワードを管理できる。
この管理方法についてIPAは、コアパスワードのみを暗記し、各サービスの識別子を電子ファイルや紙で記録することを推奨している。「万が一識別子を記録した電子ファイルの流出や紙を紛失した場合でも、その情報だけでは悪用できないため不正利用の被害にならずに済む」(IPA)
また、パスワード管理ツールについてもIPAに聞いたところ、「IPAとしては推奨していないが否定もしない」と回答した。
関連記事
- みずほのネットバンキングを突如利用停止になった女性声優の投稿が話題に 再開に1カ月分のログイン日時を要求
みずほのインターネットバンキングを巡るトラブルがTwitter上で話題になっている。声優の民安ともえさんによると、不正利用の疑いを検知したため同サービスが一時停止となったが、疑いが払拭された後のみずほ側の対応に疑問を感じたという。 - ヨドバシの“中の人”が初めて語る 「ヨドバシ.com」を支える内製プライベートクラウドの中身
ヨドバシカメラが運営するECサイト「ヨドバシ.com」は、同社が内製するプライベートクラウドによって支えられている。このプライベートクラウドが有する機能や開発の経緯などをキーパーソンが語る - Microsoft、クラウドサービスの設定ミスで顧客情報が公開状態に 対象は6万5000社? 同社は「誇張」と否定
米Microsoftはサーバの設定ミスが原因で、顧客との取引などに関する2.4TBものデータが公開された状態になっていたことを確認した。データには顧客の社名や電子メールアドレス、メールの内容、取引内容に関する添付ファイルなどが含まれていたという。 - 声を“匿名化”するシステム「V-CLOAK」 人間っぽさを残した声に変換、声紋の個人情報漏えいを防ぐ
中国のZhejiang UniversityとWuhan Universityの研究チームは、音声の明瞭性と自然性、音色を保持したまま、リアルタイムに音声を匿名化するシステムを提案した研究報告を発表した。 - GTA新作リークに使われた“多要素認証疲れ”攻撃とは 1時間以上通知攻め、従業員の根負け狙う
米Uber Technologiesやゲームメーカーの米Rockstar Gamesのネットワークが不正侵入を受け、情報が流出する事件が相次いだ。各社とも多要素認証で従業員のアカウントを保護していたが、攻撃者はプッシュ通知を大量に送る“多要素認証疲れ”を手口に利用していた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.