パスワードの管理方法については、さまざまな情報が出回っています。
- そもそもパスワードやパスフレーズは必要なのか?
- パスワードは長くて複雑な方がいいのか?
- 本当に3ヶ月ごとにパスワードを変更する必要があるのか
- 二要素認証(2FA)は常に行うべきなのか?
そこで本記事では、パスワードを安全かつセキュアに管理するための具体的な方法をご紹介します。
TeamPassword は最もシンプルで簡単なパスワード管理方法です。こちらから14日間の無料トライアルをぜひお試しください。
パスワードを安全に管理する7つのステップ
パスワード管理は、基本的に難しいものではありません。その手順は非常にシンプルで、すべてのアカウントを安全に管理するのに効果的ですが、中には面倒なものもあります。ある手順を改善すると、別の手順がかえってダメになることもあります。例えば、より強力なパスワードを設定したものの、複雑で覚えにくいため、結局は付箋に書き留めたり、他の安全でないパスワードの保存方法を使ってしまう人も少なくありません。
そこで、パスワード管理を改善するための7つのステップを以下でご紹介します。
- パスワードの使い回しをやめる
- 不正アクセスされていないかチェックする
- パスワードを定期的に変更する
- クラック(突破)されにくいパスワードにする
a. パスフレーズを考える
b. パスワードジェネレータを使う - MFA(多要素認証)を有効にする
- パスワードを安全に保管および共有する
- パスワードマネージャーを利用する
最初の6つのステップはパスワードを安全に管理するために非常に重要なうえ、自ら実践できるものですが、ステップ7に従えば、それらをすべて自動で行うことができます。
1.パスワードの使い回しをやめる
パスワードの使い回しほど大きなサイバーセキュリティ上の過ちはありません。しかし、残念なことに、20年以上前から警告されているにもかかわらず、人々はいまだにパスワードを使い回しています。
ただ、そうしてしまう気持ちも理解できます。
一般的な人々は平均して200のアカウントを持っていると言われています。そのパスワードは平均的には12文字以上で、大体複雑で覚えるのが大変なものです。そのようなパスワードを1つ覚えるだけでも大変なのに、200個も覚えるなんて不可能ですよね。
それでも、パスワードの管理方法に関する本記事から得られるサイバーセキュリティ対策の秘訣は、パスワードの再利用をやめること以外にありません。ステップ2では、その理由を説明します。
2.不正アクセスされてないかチェックする
「Pwned」とは、自身のパスワードがネット上に流出したことを意味する業界用語です。
ダークウェブで発見された流出パスワードリストを全部あなたのメールアドレスと照合してくれるツールがありますが、そのようなパスワードは直ちに変更が必要です!
同じパスワードを銀行のWebサイトやメールなどの他のアカウントで使い回していたら、そのアカウントも同様に危険にさらされていることになります。なのでパスワードは絶対に使い回してはいけないのです。
そして、流出したパスワードによって銀行口座がハッカーにアクセスされてしまうことは何としても避けなければなりません。
不正アクセスに関する記事はこちらをご覧ください。
3.パスワードを定期的に変更する
これにより、会社のサイバーセキュリティ上の弱点を最低限カバーすることができます。ステップ3と4は、パスワード管理をベストプラクティスに近づけるためのものです。
まず、パスワードは定期的に更新するべきです。どんなに安全なWebサイトでもハッキングされることがあります。そして、ハッカーがパスワード情報を解読して平文ファイルにエクスポートするのに時間がかかるため、パスワードリストが数ヶ月間公開されないこともあります。
なので、パスワードを3ヶ月ごとに更新することで、ハッキングされたアカウントがダークウェブにアップロードされる頃には、すでにパスワードが変更されている可能性が高く、セキュリティ侵害の影響を回避することができます。
4.クラック(突破)されにくいパスワードにする
パスワードは通常、「ブルートフォース(総当たり)攻撃」と「辞書攻撃」の2つの方法で解読されます。ブルートフォース攻撃は、「11111111」から始まり、次に「11111112」と、パスワードが発見されるまで繰り返して、基本的には、可能性のあるパスワードを全て順に試していきます。
辞書攻撃は、「password」や「qwerty」といったよく使われるパスワードのリストや、「passw0rd」や「QwErTy」といった派生語を使います。また、例えばペットの名前や生まれ育った町、誕生日など、ソーシャル・エンジニアリングに由来するカスタマイズされたリストも含まれます。
大抵のサイバー攻撃は、標準的な辞書攻撃から始まり、ソーシャル・エンジニアリングリストに移って、総当たり攻撃で終わります。
このような攻撃を防ぐには、少なくとも12文字(長ければ長いほど良い)のランダムで強力なパスワードを使うのが唯一かつ最善の方法です。ここでは、パスワードをクラックされにくくするための方法を2つ見てみましょう。
a. パスフレーズを考える
パスフレーズとは、例えば「D0g-Baseball-Co1n-Sh3lf! (Dog-Baseball-Coin-Shelf)」など、3~4個の中〜長単語を組み合わせて、それに大文字や数字、特殊文字を混ぜたパスワードのことです。このようなパスフレーズで、長くて安全なパスワードが覚えやすくなり、パスワードの管理ができるようになります。
b. パスワードジェネレータを使う
200以上のランダムなパスワードが自分で思いつかない場合は、パスワードジェネレータを使いましょう。そうすることで、パスワードを再利用したり、覚えやすくしたりするような、お粗末な方法に頼らずに済みます。
5.MFA(多要素認証)を有効にする
MFA(多要素認証)は、最初に「パスワード」で次に「何らかの二次的な確認」を行うといったように、複数の方法で本人確認をするよう求めるものです。最も一般的な MFA システムに、SMSメッセージ、メール、認証アプリ、電話があります。
このような方法のうち、Google Authenticatorのような認証アプリは、認証のためだけに使われる独立したシステムとして最も安全です。電話番号やメールアドレスは漏洩する可能性があるため、認証アプリが使用できる場合は推奨されません。
ただ、SMS やメールはあまり好ましい MFA システムではないとはいえ、2 番目の認証方法がないよりかは幾分マシです。
6.パスワードを安全に保管および共有する
パスワードを安全な場所に保管しましょう。バックアップを文書で保管するのに最適な場所は、金庫の中であり、間違ってもコンピュータのモニターに付箋を貼るような行為は絶対に避けてください。また、オンラインでのパスワード管理で一番いい方法は、パスワードマネージャーの使用であり、セキュリティ上のリスクが高い Google Sheets は使わないようにしましょう。
パスワードの共有に関しては、メールやテキストメッセージ、Facebook のチャットなども漏洩する可能性があることを覚えておきましょう。パスワードマネージャーにパスワード共有機能がなく、どうしてもアカウントを共有する必要がある場合は、電話をかけて、友人や同僚および家族が該当のアカウントを使い終わったらパスワード変更を検討しましょう。
7.パスワードマネージャーを使う
ここまでに紹介した6つのステップは、パスワードを安全に管理する方法ですが、パスワードを安全かつ簡単に管理する方法を知りたいなら、その答えはズバリ「パスワードマネージャーの利用」です。パスワードマネージャーには、強力でランダムなパスワードを選ぶためのパスワードジェネレータが組み込まれており、そのパスワードを保存してくれます。また、パスワードマネージャーを使えば、必要なときにパスワードを簡単に変更することもできます。
アカウントを共有するつもりなら、チーム用にデザインされたパスワードマネージャーが必要です。そうすれば、アカウントを安全に共有することができ、チームメンバーの誰かがメールで共有したり、ノートパソコンの付箋に残したりして、うっかりアカウントの認証情報を漏洩してしまうようなことがなくなります。
パスワードの管理方法 に関する Q&A
オンラインでパスワードを管理する方法について、よくある質問をご紹介します。
Q. なぜ強力なパスワードが必要なのですか?
A. アカウントの安全性は、どのようなパスワードを設定するかで決まります。なので、データを保護するには、長くて複雑なパスワードが必要です。
Q. 強力なパスワードを作るにはどうすればいいですか?
A. 強力でランダムなパスワードを作成する一番簡単な方法は、無料のパスワードジェネレータの使用です。
Q. パスワードの変更頻度は?
A. さまざまな推奨がありますが、一般的には3ヶ月に1度の変更がいいとされています。
Q. パスワードとパスフレーズのどちらを使うべきですか?
A. パスフレーズを使えば、より長い、つまりより安全なパスワードを簡単に覚えることができます。パスワードを覚えておく必要があるなら、パスフレーズの方が簡単でしょう。
Q. パスワードマネージャーは必要ですか?
A. パスワードマネージャーは、パスワードを保存する最も安全な方法です。また、パスワードを全て記憶してくれるため、新しく強力でランダムなパスワードをアカウントごとに使うのも簡単です。
Q. ブラウザのパスワードマネージャーを使うべきですか、別のものを使うべきですか?
A. ブラウザのパスワードマネージャーには、主に、すべてのデバイスで同じパスワードリストを使うのが難しいというのと、パスワード共有機能がないという2つの欠点があります。
多くの個人ユーザーにとって、このような機能は必要ありませんが、複数の従業員が重要なアカウントを共有している企業にとっては、TeamPassword のような個別のパスワード管理で、時間の節約とサイバーセキュリティの向上がもたらされます。
TeamPasswordはパスワード管理に最適です
パスワードの管理は、通常6つのステップからなります。「パスワードを使いまわさない」、「不正アクセスされていないことの確認」、「パスワードの定期的な更新」、「そのパスワードがクラック(突破)されにくいことの確認」、「MFA(多要素認証)の有効化」そして「パスワードの安全な保管および共有」です。
全てを実行するのは面倒と思う人もいるかもしれません。クラックされにくいパスワードほど長くて複雑で覚えにくいため、つい書き留めてしまいたくなりますが、書き留めるのはパスワードが漏洩するリスクにつながります。
そこで、パスワードをより安全で簡単に管理するためのツール「TeamPassword」の出番です。TeamPassword によって、アカウントごとに強力でユニークなパスワードの生成、安全な保管、必要に応じたパスワードの更新、チームメイトとの安全な共有が実現します。
TeamPassword はチームでのパスワード管理のためにデザインされています。こちらからぜひ14日間の無料トライアルをお試しください。
