パスワードの疑問をJPCERT/CCが案内。「紙にメモする適切な管理方法」など

SNSやメール、ウェブサービスなど、ネットを使っていると大量のアカウントを持たざるをえない昨今ですが、パスワードの決め方や保管方法はどうしていますか？

つい最近まで、「パスワードは定期的に変更すべき」といわれてきましたが、ここ最近ではそうでもないんじゃないかと言われたりして結局どうしたらいいのかわかりづらいところ。

日本のセキュリティインシデントを専門に扱う組織が2018年8月現在の安全なパスワードの条件と保管方法について広報していたので紹介しますね。

単純な文字の置き換えは推測される恐れ

インターネット上における侵入等のセキュリティインシデントについて、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行うJPCERT/CCという組織が「STOP! パスワード使い回し!キャンペーン2018」というページを開設しました。

そのページでは、まず漏えいと悪用のプロセスが紹介されています。

簡単にまとめると、会員向けサイトやフィッシングサイトからID・パスワードが漏えいし、そのパスワードを用いて別のサイトに不正アクセスを試みることで、不正な決済やポイント使用が行われるというもの。

そうした上で、単純なパスワードの設定や使いまわしをしないように注意を促しています。よく言われているように、複数のサイトで同じパスワードを使いまわしているとやっぱりやばいみたいですね。

そして、「安全なパスワードの条件」として以下の4つが挙げられていました。

• パスワードの文字列は、長めにする（12文字以上を推奨）
• インターネットサービスで利用できる様々な文字種（大小英字、数字、記号）を組み合わせると、より強固になる
• 推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける
• 他のサービスで使用しているパスワードは使用しない

かつては、大文字や小文字、数字や記号を混ぜ込むことが推奨されていました。しかし、英単語を記号に置き換える方法では、覚えにくかったり、攻撃者側が予め置き換えを推測している可能性があるとのことで、文字の種類を増やすよりも現在はより長い文字列を使うことが望ましいとされているとのこと。

例えば、8文字で大文字・小文字・数字・記号を組み合わせたパスワードよりも、記号を使わない12文字以上であれば解読コストの観点から一定の強度は保てるそうですよ。

12文字なんて覚えられないという場合は、

英単語＋好きな日本語のローマ字＋英単語＋英単語…

のようにすることで、記憶しやすくて長いパスワードが作れると助言しています。例えば、「creativenasebanaruterriblecrystaltable」とかですかね。確かに長くなります。

そして、パスワードの管理方法として、以下の3つを紹介しています。
まずは「紙にメモして、人目に触れない場所で保管」。

2018年に紙で管理かよ！と古典的で笑いそうになりますが、完全アナログなので実は安全かもしれません。また、長いものにし、またサービスごとに変えるとなると、紙に書くのが一番コスパがいいのかもしれません。保管場所は要注意ですが。

ただ、1枚の紙にまとめてメモしてしまうと、盗まれた時に大変なので、IDとパスワードを別の紙に分けてメモし、別々に保管することが必要とのことです。

次に、「パスワード付きの電子ファイルで保管」。

パソコンの中で保管する場合は、パスワード付きの電子ファイルで保管することを勧めています。この時も紙での保管と同様、IDとパスワードを別々のファイルに分けて保管することを勧めていますよ。

最後に、「パスワード管理ツールを使用」。

信頼性のあるパスワード管理ツールを使用することで、メモを参照することなく自動入力することができます。有名どころでは「1password」でしょうか。

ただ、ソフトそのものや現在や将来における開発元の安全性を踏まえると、どういうものが「信頼のある」と言えるのかなかなか判断が難しい気もします。

また、ページではこの他にも、ワンタイムパスワードや2段階認証機能、ログイン履歴機能やログインアラート機能、パスワードの再設定機能等を有効活用することを勧めています。

これを機会に、個々のサービスでより長いパスワードに変更してみてはいかがでしょうか。