ICT

パスワードについて

投稿日:2016年9月15日 更新日:

1. はじめに

どのようにパスワードを扱えばよいのかについてまとめます。
(サービスを提供する側ではなく、利用する側の話しです)

2. パスワードに関する基本的なこと

気を付けること

  • 複数のサービスで、同じパスワードを使いまわさない。
    • どこか1つのサービスでユーザー名・パスワードが漏れた場合、その情報を使って他のサービスにログインされてしまいます。

どのような文字列をパスワードとして使えばよいのか?

以下の3点に従ったパスワードにします。

(1) 4桁など短い文字列を設定しない
(2) 辞書に載っている単語や名前などの固有名詞、生年月日など、第三者が推測できる文字列を使わない
(3) ほかのサービスで使っているパスワードを使わない

出典:辻伸弘の裏読みセキュリティ事件簿 – 被害タレントに専門家が指南 安全なパスワード管理法はこれだ!:ITpro
(2016年9月7日の記事)

但し、パスワード管理ツールを使えば、安全性の高いパスワード生成機能がついていますので、パスワードを自分で考える必要はありません。

参考サイト

3. 日々増えていくパスワードをどのように管理すればよいのか?

以下のいずれかの方法で管理することをお勧めします。

1. パスワード管理ツールを使う。

いろいろなツールがあります。

ツールで管理するパスワードデータは外部メディアに定期的にバックアップしておきましょう。

KeePass

  • 公式サイト: http://keepass.info/
  • ネイティブアプリです。
  • オープンソースのパスワード管理ツールで、無償で使えます。
  • Windows なら、このツールで十分です。
  • 使い方について記事を書きました。

1Password

  • 公式サイト: https://1password.com/
  • ネイティブアプリです。
  • 有料です。
  • Dropboxを使って、ローカルでの同期ができます。

LastPass

  • 公式サイト: https://www.lastpass.com/
  • ブラウザの拡張機能 + ウェブアプリ(クラウド)で構成されます。
  • 無償版があります。
  • データは LastPass のサーバに保存されます。

ブラウザのパスワード管理を使う

サイト毎にパスワードを保存して利用する機能を持っているウェブブラウザがあります。
(例: 保存したパスワードを管理する – パソコン – Google Chrome ヘルプ)。

漏れたら絶対にまずい」サービスのパスワードをこの機能を使って保存することは、あまりお勧めしません。例えば Chrome の場合、保存したパスワード情報は Google アカウントと紐付けられてGoogleが管理するクラウドに保存されます。ローカルな環境で自分がパスワードを管理するなら、影響範囲は小さいですし、「やっていること」が自分で把握できます。クラウドに保存されてしまうと、自分の秘密の情報でありながら、情報が漏れる機会まで他者に渡してしまうことになります。

紹介記事

2. 手帳などにパスワードをメモする。

  • パスワードの一部は省略する。
  • パスワードの文字列に簡単なルールを決めて、省略された部分を頭の中で補えるようにする。

参考サイト

4. パスワードは定期的に変更したほうが良いのか?

定期変更にはあまり意味がないという意見が主流のようです。

但し、参考サイト(*1) にあるように、パスワードを共有しているような場合は有効でしょう(定期的もしくはメンバーに変更があったタイミングで)。

参考サイト

5. パスフレーズとの違いは?

パスワード (password) が「ワード(単語)」という言葉を使っているのに対して、パスフレーズ(passphrase)には「フレーズ」という言葉が入っている通り、こちらは「複数の単語から成る文字列」を意味しています。

パスワードという言葉だと、どうしても「単語1つ設定すればよい」というイメージを連想してしまうため、簡単な文字列が使われてしまう可能性が高くなります。しかし、パス「フレーズ」となっていれば、より長い文字列が使われる可能性が高くなる(絶対ではないですが)ため安全性は高まるでしょう。実際、システムによっては、重要度が高い場面に「パスワード」ではなく「パスフレーズ」という言葉が使われていたりします。

このように安全性の向上が期待できるパスフレーズですが、パスフレーズをサービスによって使い回すわけにもいきませんし、かといって増え続けるパスフレーズを人間が記憶するのも現実的ではありません。結局、パスフレーズもパスワード管理ツールで管理することが推奨されます(パスワード管理ツールのマスターパスワードに、フレーズを使うのは良いアイデアだと思います)。そしてパスワード管理ツールを使えば、記号も含めたランダムな文字列(十分に長い)を自動生成することもできますので、こうなると「パスワード」と「パスフレーズ」の違いというのはかなり薄まってきます。

ということで、一般的には「パスフレーズ」が広まるといいなと思いつつも、パスワード管理ツールを使えば、パスワードとパスフレーズの違いを意識する必要はほとんどないのではないかというのが私の結論です。

6. 関連

  • 「秘密の質問」機能について
    • できれば使用しないようにする。
  • より安全にログインしたい場合は、2段階認証を利用する(用意されている場合)。
セキュリティ

セキュリティに関して日頃気を付けること

2016.12.16

KeePass の使い方

2016.09.16

7. その他の参考サイト

📂-ICT
-

執筆者:labo


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

Windows

エクスプローラやデスクトップ上で目的のファイルを素早く選択する方法

@Windows_Japan の Twitterアカウントが以下のツイートを行っていました。 【散らばったファイルの中から目的のファイルが見つける #Windows技 】 「数が多すぎて探しているファ …

セキュリティ

セキュリティに関して日頃気を付けること

目次はじめに1. ウィルス対策ソフトをインストールして使用する。2. ソフトウェアを常に最新の状態にする。Windows自体の更新事例使用しているアプリケーションのアップデート3. メール4. ログイ …

ICTリテラシー

勝手にバックグラウンドでダウンロードさせない設定 (Windows, Mac)

目次1. はじめに2. Windows 10 の場合3. Mac (macOS) の場合4. おわりに5. 参考 1. はじめに 最近の Windows や Mac (macOS) では、バックグラウ …

ICTリテラシー

IPアドレスとホスト名(FQDN)の対応付けを書く hosts ファイル

現在使われているパソコン(以下、コンピューターと書きます)には、hosts というファイルが1つ存在しています。 目次1. ホスト名に対応するIPアドレスを取得するためのDNS2. hosts ファイ …

no image

情報リテラシーに関する記事

目次一般インターネット上の情報についてOSセキュリティ 一般 外気温を測ってホームページで公開すると気象庁から怒られる件 – Qiita 情報を公開するにも制限のある場合がある例 インター …