「安全なパスワード」はどのように設定すればいいのか?

f:id:nakamotokun:20151215224952j:plain

 
「アシュレイ・マディソン」の会員情報が漏洩した問題を受け、今あらためてウェブサイトの安全性が注目されています。

安全性の面で私たちが最も身近にコントロールできるのはパスワードですが、果たして私たちの使っているパスワードは安全なのでしょうか?


【複雑なパスワードなら安全?】
通常、パスワードは大文字や小文字を混ぜ、さらに数字や記号を含めることを求められる場合があります。

複雑なパスワードはより安全性を高めてくれる、と多くの人が信じているのです。

しかしパスワードを複雑にすると、利用者は覚えておく自信がないため、ノートに書き記したりしてしまう傾向があります。

また複雑なものを増やしたくないため、同じものを多くのウェブサイト共通のパスワードとして使ってしまうのです。

また記号などをパスワードに含めると、携帯端末でパスワードを打つときにとても不便であるというデメリットもあります。


【長いパスワードは安全?】
パスワードよりも「パスフレーズ」といわれるものをすすめるセキュリティの専門家もいます。

たとえば「Iown50%ofSClub7albums」などです。

自分で設定するものですから比較的覚えやすいですし、また、いわゆる「総当り攻撃」(合致するパスワードが見つかるまでさまざまなパスワードの組み合わせを試して進入しようとする攻撃)にもより強い対応が可能です。

このように、長いパスワードのほうがより安全性は高くなりますが、その一方で問題もあります。

現在パスワードの半数はタッチスクリーンから入力されていることが分かっています。

タッチスクリーンで長いパスワードを入力すると、どうしても入力ミスの発生や指や眼への負担が大きくなってしまうという、デメリットがあるのです。


【やはり繰り返しパスワードを変更したほうがいい?】
多くのサイトが繰り返しパスワードの変更を推奨しています。

30日ごとに変更するよう勧めてくるサイトも多く見かけられます。

これに従っていれば、万が一パスワードが外部に漏れてもハッカーたちも一時的にしか使用できないことになります。

しかし、この繰り返しパスワードを変更しなければいけない作業が面倒であるため、多くの人が一部を変更するだけのパスワードを設定し、それをさまざまなサイトで使い回している、という状況を生み出してしまっています。

これでは30日ごとに変更する意味も少なくなってしまいます。


【パスワード・マネージャーを使うのはOK?】
専用のアプリやサイトで自分の全てのパスワードを管理している人もいるようです。

その場合は、忘れてしまったときでもすぐ確認できるので便利です。

ではデメリットはあるのでしょうか?

専用のアプリもまた、パスワードで保護されているため、結局そのアプリ用のパスワードは必ず覚えておく必要があるのです。


【では、どうすればいいのか?】
多くのウェブサイトでは通常のパスワードに加え、携帯電話に送信されるコードを入力しないとログインできない「二重承認」を取り入れています。

フェイスブック、グーグル、ツイッターなどは、この機能を無料で提供しています。

もしあなたの使っているインターネットバンキングなどでこの機能が利用可能なら、積極的に検討しましょう。

「アシュレイ・マディソン」の漏洩問題で分かったことは、「完全に安全なウェブサイト」など存在しないということです。

また、複数のサイトで同じパスワードを使うことは避けるようにしましょう。

(ソース:How to pick the perfect password (BBC)