大須は萌えているか?

gooブログからこっちに移動しました

パスワードは暗記しちゃいけない

WEB・ブログ

最近よく見るこういうの。

LINEの乗っ取りは、どうして起きてしまうのでしょうか。
原因は、「パスワードの使い回し」にあるとみられています。
女性は、ショッピングサイトやSNSなど、複数のサイトで共通のIDとパスワードを使っていました。 このうち、どこかのサービスからIDとパスワードが流出。
何者かがこれを使ったところ、LINEのログインに成功し、IDを乗っ取ったとみられています。

via: NHK NEWS WEB パスワードの使い回しにご用心

複数のWEBサービスでIDとパスワードを使い回してしまうコトにより、1カ所でそれが流出すると他のサービスでまでアカウントを乗っ取られてしまうという。

私も昔は結構使い回しをしてしまっていたんですが、なぜかと言えば「めんどくさいから」なんですよね。毎回違うパスワード考えるのはめんどくさいし、それを覚えるのもめんどくさい。そもそも覚えてられるかどうかも怪しい。

かといって、それをなんかにメモしておくとしても、ログインしようとするたびにメモを取り出さねばならず、やっぱりめんどくさい。だいたい、そのメモを紛失したりしたらさらに悲惨なコトになる。

ただ、やはりこういう使い回しによる不正アクセスのリスクを考えると怖いなぁと思いまして、今は利用している各サービスごとにユニークなパスワードを設定してます。んで、パスワードを設定する際に意識しているのが、「パスワードを暗記しない」というコト。

暗記しようとしちゃうと、ついつい「やっぱり使い回してもいいかー」とか思っちゃったり、類推されやすいパスワードにしちゃうんですよ。「自分が覚えていられるもの」という方に意識が向いちゃうから。なので、パスワードの使い回しを止めるに当たって「パスワードを一切暗記しない」という自分ルールを決めたワケです。

でもパスワードを暗記しないとなると、結局何かにメモしてそれを見て……なんていうめんどくささが発生してしまうワケですが、そこはパスワード管理専用のソフトを使って、そのめんどくささを最小限にしようと。パスワード管理ソフトって、だいたいパスワードの生成・記録・取り出しが簡単にできるようになっていますからね。

私はKeePassというフリーソフトを使ってるんですが、パスワードはこいつのジェネレータ機能を使って完全にランダムな、サービスが許容する範囲でできるだけ長めのパスワードを生成して使ってます。

このソフト、MaciPhone版もあるので、パスワードのデータベースファイルをそれぞれのデバイスにコピーすればクロスプラットホームでの運用も可能。パスワード入力時はすべてこいつからコピペしてます。暗記した簡単なパスワードを直接入力した方が速いのは間違いないんですが、一切暗記しなくするコトでこのソフトを使わざるを得ないようにしてます。その方が、「パスワードを使い回さない」「わかりやすいパスワードにしない」というコトを徹底できるので。

だいたい、自分しか使わないデバイスであればブラウザにログイン情報記憶させちゃうし、パスワードを入力しなきゃいけない状況ってそんなにむちゃくちゃ頻繁には無いワケですよ。たまにパスワードを入力しなきゃいけないタイミングはKeePassからコピペする、っていうのはそこまでめんどくさい話じゃない。

自分が一切パスワードを覚えないようになると、万一KeePassのデータベースファイルが破損したりしたら……なんて懸念も出てきますが、これ単一のファイルなのでバックアップは簡単です。容量だってわずかなので、余ってるUSBメモリの中にでもコピーしておいてもいい。

IPA情報処理推進機構)のサイトでも、「パスワードの使い回しを避け、安全に管理するための具体策の例」として

多くのサービスで異なるパスワードを設定していると、すべてのIDとパスワードを暗記することは困難で、何らかの形でリストとして保持することが現実的な解となります。
紙のノートやメモ帳などに保持していても良いのですが、リストが肥大化した際のメンテナンス性を考慮し、IDとパスワードを記載したリストを「パスワード付きの電子ファイル」として保持することを勧めます。

via: 2013年8月の呼びかけ:IPA 独立行政法人 情報処理推進機構

てなコトが書かれてますね。この記事では表計算ソフトを使用したリスト管理の例が紹介されているんですが、Keepassのようなパスワード管理ソフトの方が、パスワード生成機能やショートカットキー一発でコピペしたりする機能もあるんで便利です。

パスワードの使い回しってWEBサービスに限った話じゃ無くて、例えば仕事上のファイルのやりとりでZIPファイルなんかにパスワードかけて展開する際、毎回同じパス使う人って結構多いですね。しかも、だいたいはとても類推しやすい。例えば、総務課の人が「soumu」ってパスワード使ってたりして。これもやっぱり暗記しようとしちゃってるんですよねぇ。

こういう状況を見ると、パスワード生成や管理の機能ってOSレベルで組み込まれてても良いような気がしちゃいますが。あ、でもMacだとキーチェーンとパスワードアシスタントがあるか。

……Windowsってなんかありましたっけ?