テクノロジー業界はパスワードよりましな代替機能に取り組んではいるが、まだ当分はパスワードを使い続けなければならない。過去数十年伝えられてきたパスワードに関するアドバイスの中には、時代遅れになったものもある。ここで紹介しよう。
パスワードの安全性を保つための基本は変わらない。アカウントごとに異なるパスワードを使い、推測しにくいパスワードを作成すること。だが、セキュリティの専門家たちは、3つの古くからのルールは捨てていいと言っている。その3つは、パスワードを書き残すな、誰にもパスワードを教えるな、パスワードは頻繁に変更せよ、だ。
これらのアドバイスは、最大の脅威が人間によるコンピューターへの物理的なアクセスだった時代のものだ。今日では、われわれの生活は完全にインターネットとアプリと絡み合っており、ハッカーは世界中のいたるところにいる。その結果、自分のアカウントを守る方法も考え直さなければならなくなった。
パスワードには様々な欠点があるが、それでもあなたはまだパスワードを使う必要がある。だから、最善の方法を選ぼう。パスワードには、ランダムな文字列や「パスフレーズ」と呼ばれる無関係な単語の長い組合わせなどを使おう。辞書に載っている単体の単語やよく知られた代替文字、例えば「a」の代わりの「@」などは避けよう。パスワードを自動生成して保存する「パスワードマネージャー」を使って手間を省くことを検討してもいいだろう。
では、サイバーセキュリティとプライバシーの専門家のアドバイスを紹介していこう。
初期のコンピューターユーザーが端末にログインするようになると、まずパスワードを記憶し、書き留めるなと告げられた。
すべての始まりは、ユーザー名とパスワードを必要とする世界最初のコンピュータとして知られるマサチューセッツ工科大学(MIT)のCompatible Time Sharing System(互換タイムシェアリングシステム)だ。1963年から、MITのユーザーは共有のターミナルにログインすることで各自の個人アカウントに接続していた。数十年の間、最悪の行為とは、誰でも見ることができるワークステーションの近くにパスワードを書いたメモを置いておくことだった。
今ではそんなことはない。
Googleのアカウントセキュリティ責任者、Mark Risher氏は「このアドバイスは今やまったく非生産的だ」「パスワードを書き残した方がよほどいい」と語った。
自分で使っている多数のアカウントの、それぞれ異なるパスワードを記憶する最も簡単な方法はそれを書き留めておくことだ。もちろん、誰かがあなたの記録を入手するリスクはある。だが、複数のサービスで使いまわしているパスワードをはるか遠くにいる攻撃者に悪用されるリスクの方が大きい。
オンラインショップやオフィス用品店が「パスワードブック」を販売している。1冊購入してパスワードを記録し、自宅で鍵をかけて保管しておくのがいいと、専門家は言う。
同居人の誰か、例えば不仲な配偶者や個人情報窃盗で有罪判決を受けたことのあるいとこなどがあなたをハッキングする可能性があるのなら、この方法はあなた向きではない。
それに、パスワードブックを鍵をかけた自宅に置いておくのは、あなたが頻繁に外出するのであれば不便だ。だが、重要なアカウントに一意で強力なパスワードを設定することは第一歩ではある。
パスワードを共有しないようアドバイスするのは、完全に非現実的だというほど間違ってはいない。
人はさまざまな理由でパスワードを友人や家族と共有する。例えば、家族のアカウント共有を認めているサービスもあるし、多くの夫婦は財産を共有している。それにある日、あなたあるいは家族が亡くなったり、決定能力を失ったりするかもしれない。
SurveyMonkeyが2月に発表したデータによると、ソーシャルメディアやメールのパスワードを自分の配偶者と共有することに抵抗を感じない人は多いという。
そこにはリスクもある。2人の関係性が壊れたり、いずれか一方が支配的な場合は、パスワードの共有は危険になり得ると、家庭内暴力の専門家は指摘する。また、パスワードを2人で共有すれば、ハッカーに情報を奪われる可能性も2倍になる。
まず、利用するサービスが複数のユーザーによる1つのアカウント共有を許可しているかどうか確認しよう。
次に、アカウントのパスワードを再利用しないこと。そうすれば、もしあなたの配偶者がフィッシング詐欺に遭ってあなたのパスワードの1つを盗まれてしまっても、他のアカウントには影響しない。
定期的にパスワードを変更すれば、アカウントへのアクセス権を入手した可能性のあるハッカーを遮断できるだろう。
だが、約10年前、研究者たちがこのアドバイスは利益より害をもたらすことを示した。つまり、パスワードの変更を強制すると、人はより脆弱なパスワードを選ぶようになるのだ。
ノースカロライナ大学チャペルヒル校で、学生と教職員のパスワードの習慣について調査した。対象者には3カ月ごとにパスワードを変更するよう求めた。その結果、ユーザーのパスワード変更は、攻撃者が簡単に推測できるような小さなものになった。
データ侵害でパスワードが危険にさらされていることが分かった場合は、パスワードを変更するべきだ。「Have I Been Pwned」にサインアップすれば、あなたに影響のある攻撃についての情報が得られる。ウェブブラウザの「Firefox」か「Chrome」、あるいはOktaのブラウザ拡張機能を使うことでも、あなたのパスワードが流出データに含まれていれば警告される。
最後に、アカウントで可能な2要素認証を使おう。そうすれば、ハッカーがパスワードを盗んでも、相当努力しなければ、あなたのアカウントにアクセスできない。SMSベースの認証はある種の攻撃に対しては脆弱だが、しないよりはましだ。「Google Authenticator」あるいは「Authy」のような認証アプリはさらに強力だ。そして、GoogleやFacebookなどの非常に重要なアカウントには、ハードウェアのセキュリティキーを使うといい。
だがまずは、同じパスワードの使い回しを止めよう。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス