パスワードについて

1. はじめに

どのようにパスワードを扱えばよいのかについてまとめます。
（サービスを提供する側ではなく、利用する側の話しです）

2. パスワードに関する基本的なこと

気を付けること

• 複数のサービスで、同じパスワードを使いまわさない。
  • どこか1つのサービスでユーザー名・パスワードが漏れた場合、その情報を使って他のサービスにログインされてしまいます。

どのような文字列をパスワードとして使えばよいのか？

以下の3点に従ったパスワードにします。

(1) 4桁など短い文字列を設定しない
(2) 辞書に載っている単語や名前などの固有名詞、生年月日など、第三者が推測できる文字列を使わない
(3) ほかのサービスで使っているパスワードを使わない

出典：辻伸弘の裏読みセキュリティ事件簿 – 被害タレントに専門家が指南　安全なパスワード管理法はこれだ！：ITpro
(2016年9月7日の記事)

但し、パスワード管理ツールを使えば、安全性の高いパスワード生成機能がついていますので、パスワードを自分で考える必要はありません。

参考サイト

• 使ってはいけないパスワードトップ25 (2016年版) | マイナビニュース

3. 日々増えていくパスワードをどのように管理すればよいのか？

以下のいずれかの方法で管理することをお勧めします。

1. パスワード管理ツールを使う。

いろいろなツールがあります。

ツールで管理するパスワードデータは外部メディアに定期的にバックアップしておきましょう。

KeePass

• 公式サイト: http://keepass.info/
• ネイティブアプリです。
• オープンソースのパスワード管理ツールで、無償で使えます。
• Windows なら、このツールで十分です。
• 使い方について記事を書きました。
  • KeePass の使い方

1Password

• 公式サイト: https://1password.com/
• ネイティブアプリです。
• 有料です。
• Dropboxを使って、ローカルでの同期ができます。

LastPass

• 公式サイト: https://www.lastpass.com/
• ブラウザの拡張機能 + ウェブアプリ（クラウド）で構成されます。
• 無償版があります。
• データは LastPass のサーバに保存されます。

ブラウザのパスワード管理を使う

サイト毎にパスワードを保存して利用する機能を持っているウェブブラウザがあります。
（例： 保存したパスワードを管理する – パソコン – Google Chrome ヘルプ）。

「漏れたら絶対にまずい」サービスのパスワードをこの機能を使って保存することは、あまりお勧めしません。例えば Chrome の場合、保存したパスワード情報は Google アカウントと紐付けられてGoogleが管理するクラウドに保存されます。ローカルな環境で自分がパスワードを管理するなら、影響範囲は小さいですし、「やっていること」が自分で把握できます。クラウドに保存されてしまうと、自分の秘密の情報でありながら、情報が漏れる機会まで他者に渡してしまうことになります。

紹介記事

• Tech Basics／Catalog：スマホでもWindowsでもMacでも、どれでも使えるパスワード管理ツール – ＠IT

2. 手帳などにパスワードをメモする。

• パスワードの一部は省略する。
• パスワードの文字列に簡単なルールを決めて、省略された部分を頭の中で補えるようにする。

参考サイト

• 辻伸弘の裏読みセキュリティ事件簿 – 被害タレントに専門家が指南　安全なパスワード管理法はこれだ！：ITpro (2016年9月7日の記事)

4. パスワードは定期的に変更したほうが良いのか？

定期変更にはあまり意味がないという意見が主流のようです。

但し、参考サイト(*1) にあるように、パスワードを共有しているような場合は有効でしょう（定期的もしくはメンバーに変更があったタイミングで）。

参考サイト

• パスワードの定期変更、強制はダメ？　その理由と1つの例外 (1/2) – ITmedia エンタープライズ (*1)
  • 2017年5月30日の記事
• パスワードの定期的な変更を勧める企業にその根拠を聞いてみた | 富永日記帳
  • 2014年10月9日の記事
• パスワード定期的変更の効能について徳丸さんに聞いてみた | 徳丸浩の日記
  • 2014年9月10日の記事
• IPAのセキュリティ対策キャンペーンテーマから「ID・パスワードは定期的に変更する」が消える | スラド セキュリティ
  • 2014年9月10日の記事

5. パスフレーズとの違いは？

パスワード (password) が「ワード（単語）」という言葉を使っているのに対して、パスフレーズ（passphrase）には「フレーズ」という言葉が入っている通り、こちらは「複数の単語から成る文字列」を意味しています。

パスワードという言葉だと、どうしても「単語1つ設定すればよい」というイメージを連想してしまうため、簡単な文字列が使われてしまう可能性が高くなります。しかし、パス「フレーズ」となっていれば、より長い文字列が使われる可能性が高くなる（絶対ではないですが）ため安全性は高まるでしょう。実際、システムによっては、重要度が高い場面に「パスワード」ではなく「パスフレーズ」という言葉が使われていたりします。

このように安全性の向上が期待できるパスフレーズですが、パスフレーズをサービスによって使い回すわけにもいきませんし、かといって増え続けるパスフレーズを人間が記憶するのも現実的ではありません。結局、パスフレーズもパスワード管理ツールで管理することが推奨されます（パスワード管理ツールのマスターパスワードに、フレーズを使うのは良いアイデアだと思います）。そしてパスワード管理ツールを使えば、記号も含めたランダムな文字列（十分に長い）を自動生成することもできますので、こうなると「パスワード」と「パスフレーズ」の違いというのはかなり薄まってきます。

ということで、一般的には「パスフレーズ」が広まるといいなと思いつつも、パスワード管理ツールを使えば、パスワードとパスフレーズの違いを意識する必要はほとんどないのではないかというのが私の結論です。

6. 関連

• 「秘密の質問」機能について
  • できれば使用しないようにする。
• より安全にログインしたい場合は、2段階認証を利用する（用意されている場合）。

7. その他の参考サイト

• Webサービス運営者がパスワードを扱う上での基本知識 – BUSINESS LAWYERS
  • 2019年08月06日
• 変わるパスワードの常識、変わらない実態 – ITmedia NEWS
  • 2019年05月27日
• 使ってはいけないパスワードトップ10万が発表、第1位は？ | マイナビニュース
  • 2019年4月22日
• Facebook、数億人分のユーザーパスワードを数年間可読状態で保存と発表 – ITmedia NEWS
  • 2019年3月22日
• 現実はそんなもの？　IT従事者でもパスワードを使い回し、同僚と共有【海外セキュリティ】 – INTERNET Watch
  • 2019年3月7日
• おすすめのパスワード管理ソフトは？ | Bizコンパス -ITによるビジネス課題解決事例満載！
  • 2019年2月8日
• マイクロソフトのパスワードに関するガイダンス
  • 2018年12月28日
• ヤフー、Androidスマートフォンのウェブブラウザー上でのログインが指紋認証などの生体認証に対応 – プレスルーム – ヤフー株式会社
  • 2018年10月23日
• ハッキングされた Microsoft アカウントを復元する方法 | Microsoft
• 2要素認証は安全か? | マイナビニュース
  • 2018年9月14日
• 安全なパスワード管理｜社員・職員全般の情報セキュリティ対策｜企業・組織の対策｜国民のための情報セキュリティサイト
• パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める – GIGAZINE
  • 2017年8月10日
• ヤフーが「パスワード」と“決別”する本当の狙い – CNET Japan
  • 2017年05月04日
• 総務省｜ウェブサービスに関するID・パスワードの管理・運用実態調査結果
  • 平成27年7月30日
• チョコっとプラスパスワード｜IPA 独立行政法人 情報処理推進機構
  • 2015年のページ
• パスワードの定期的な変更を勧める企業にその根拠を聞いてみた | 富永日記帳
  • 2014年10月9日の記事
• eBook Japanの発表資料に見るパスワードリスト攻撃の「恐ろしい成果」と対策 | 徳丸浩の日記
  • 2013年4月10日