「パスワードは適切に管理しましょう」という事はもう随分前から言われていることで、この記事をお読みになっている方も殆どは「そんな事は聞いたことあるし知ってるよ」ということでしょう。
けれども、では実際にはどうか?と言うと、これも多分殆どの方は「そんなこと言ったって、実際に適切に管理なんて面倒くさすぎるしそもそもどうやれば良いのか分からない」ということだろうと思います。
そこでこの解説ページでは、「机上の空論」ではない「ホントに使えるパスワードの作り方・運用の仕方」をお伝えしていこうと思います。
この解説記事(複数回に分かれます)でお伝えする内容は、弊社が様々なセキュリティの専門サイトや専門家からのアドバイスを参考にし、また筆者本人の知見を元に実際に運用している方法をお伝えするものです。
この解説記事の内容が「絶対」と押し付けるつもりは毛頭ありませんが、「パスワードの設定」についてこれまであまり真剣に取り組まれてこなかったという方へ何らかのヒントとしていただければという意図で掲載しています。
パスワードを適切に・・・と言われたって・・・
セキュリティに関する専門サイトやセキュリティ会社のサイトではほとんどすべての解説で、以下の3点を強調されています。
- パスワードを作るときには、「数字」「アルファベット大文字」「アルファベット小文字」「記号」をすべて混在させて8桁以上のパスワードにしましょう
- すべてのサイト・サービスで、必ずそれぞれ異なるパスワードにしましょう(同じパスワードを決して使い回さないように)
- 分かりやすい(推測されやすい)文字列やコード(例えば「1111」とか、あるいはご自分の誕生日とか)は絶対に使わないようにしましょう
これは理屈としては非常にごもっともな内容でセキュリティ上の観点からも至極当然の話です。けれども・・・
8桁以上・記号混在ができないサイトやサービスも非常に多い
実際に様々なサービスでユーザー名とパスワードを設定しようとすると、この記事執筆時点(2020年1月5日)現在でも「パスワードは6桁以内」とか「半角英数字のみ、記号は使ってはいけない」というような制約のあるサービスやサイトが非常に多いのが現実です。
これではユーザー側の私達自身が「教科書どおりに8桁以上の複雑なパスワード」を作ってもパスワード設定ができません。
つまり、「セキュリティの専門家や専門サイトのアドバイスの通りにキッチリとパスワードを運用しよう」としても、そもそも出来ないのです。
サービスごとに異なるパスワード・・・そんなの覚えられるわけない
サービスごとに使いまわしを絶対にせずにパスワードをすべて別々のものに・・・しかも誕生日や電話番号みたいな覚えておけるものは絶対に使わずに・・・なんてことしたら、そんなの覚えきれるワケがない・・・これも至極当然の話です。
ちなみに筆者の家族(つまり、ごく一般的なユーザー)に「どのくらいのサービスでユーザー名とパスワードを設定しているか?」と尋ねたところ、おおよそ30くらいのサービスとのことでした。
これは、それほど多い数ではありません(むしろ少ないという印象)。
30種類のサービスですべてパスワードを別々にしたら・・・?単純にランダムなパスワードを設定しただけでは30種類なんて覚えきれるワケがありません。
パスワードを有効に設定する方法
じゃあ、どうやって「適切な(堅牢な)パスワード」を設定すればよいのか?・・・実はセキュリティ会社やセキュリティ専門の団体が推奨しているパスワードの作り方に大きなヒントがあります。
例えばセキュリティソフトで有名なNortonでは「パスワードの適切な作り方」の一例として以下のような解説ページを設けています。
複雑で強いのに忘れにくいパスワードの作り方と正しい管理方法(https://japan.norton.com/how-to-make-password-9311)
このページでは「なるべく多い桁数」で「複雑なもの」を作る例として結果的に8桁や9桁というパスワードの作成方法の一例を取り上げています。
けれども「9桁」のパスワードではそもそもサービス側が受け付けてくれない場合も多々あるのが事実なのでこれでは役に立ちません。
だからと言ってこの解説が役に立たないというわけではありません。
ここで書かれている作成方法をヒントにして、「何十ものパスワードをなるべく複雑に、なおかつ覚えていられるものにする」方法を編み出せばよいわけです。
以下で説明する方法が唯一ではありませんが、例えばこんなパスワードの作成方法が考えられます。(あくまで一例です。コレをヒントに皆さんご自分で創作してみてください)
(例)ABC信用金庫 条件:半角英数字で、6桁以内のパスワード
ABC信用金庫という金融機関のインターネットバンクのパスワード設定です。Norton解説サイトで言っているような「8桁以上」「半角英数字と記号混在」という複雑な条件ではパスワードが作れません。こんなときに、どうすれば良いのか?
1.パスワード作成のルールを決める
- まず利用するサービス名をアルファベット3文字で表す。
- 自分の好きなミュージシャンの名前をアルファベット2文字で表す。
- 自分の「名前(姓じゃなくて名の方だけ)を数字に置き換える(1文字あるいは2文字あるいは3文字)
- 「好きなミュージシャンのアルファベット2文字を両端にして利用するサービス名3文字をはさみ込み、利用するサービス名1文字目と2文字目の間に自分の名前を数字にした数を挟み込む)
- 最後に1文字目だけを大文字にしてあとは全部小文字にする。記号を使って良い場合は「名前の数字」のあとに「#」を入れる
2.実際に当てはめる
- ABC信用金庫・・・ABC Shinnyou Kinko として「ASK」にします。
- 忌野清志郎さんが好きなので、「IK」にします。
- 自分の名前(岸本圭史の圭史・・・「けいし」を「あ=1、い=2、う=3、え=4、お=5」というルールで数字に置き換えると「422」となります。今回は1文字だけ「4」を使います。
- 「IK」の間に「ASK」を入れて「IASKK」、さらにASKの1文字目と2文字目の間に「4」を入れ「IA4SKK」
- 頭の1文字だけ大文字にします。「Ia4skk」
これで、ABC信用金庫の「6文字のパスワード」は「Ia4skk」となります。
3.別のサービスでも同じルールを使ってパスワードを作成する
(例)Amazon(ネット通販) 条件:半角英数字と記号混在で、ナン桁でもOKのパスワード
実際にやってみます。
- 楽天市場のインターネット通販・・・楽天 インターネット 通販 で「RIT」とします。
- 忌野清志郎さんが好きなので「IK」にします。
- 自分の名前(岸本圭史の圭史・・・「けいし」を「あ=1、い=2、う=3、え=4、お=5」というルールで数字に置き換えると「422」となります。今回は3文字使って大丈夫そうなので「422」を使います。
- 「IK」の間に「RIT」を入れて「IRITK」、更にRITの1文字目と2文字目の間に「422」を入れて「IR422ITK」
- 頭の1文字だけ大文字にして、「名前の数字の後に#」を入れます→「Ir422#itk」
先程のABC信用金庫のパスワードと楽天市場のパスワード(赤太字で書いてあるやつ)を比べてみてください。最初が「I」最後が「k」という点だけ共通していますが、それ以外は桁数も文字列も異なっていますね。
で、肝心なのは「このパスワードの作り方を自分で覚えておいて、どのサービスでも同じように作成して作る」という点です。
上記の作成方法のルールだと「最低6文字」「半角英数字」という条件でも作れますし、「記号混在、桁数はナン桁でも」という場合でも同じ条件で作ることが出来ます。
既存のパスワード変更は根気よくやり抜きましょう
こういう解説記事を書くとほとんどの読者の方が「ふむふむ、そうなのね、分かった分かった」と、頭で理解だけして実際にはやらない、ということになるのが常です。
すでに何十ものサービスでパスワードを設定している場合、それらを新たなルールで設定し直し、全部別々のパスワードに置き換えるのは、相当な労力と時間がかかりますから、なかなか実践できないというのも、筆者もお気持ちは分からなくはありません・・・が・・・
そうならないように実践するにはどうすればよいか?・・・と言ったらそれはもう、皆さまご自身の意識と努力におまかせするしかありません。
ただ、ひとつだけ申し上げておくと、「パスワードの適切な管理」は「車から離れるときにドアの鍵をかける」「家を留守にするときに戸締まりして鍵をかける」のと同じくらいあるいはそれより遥かに重要な「インターネットやIT利用では当たり前中の当たり前の基本」だということです。
セキュリティの公的機関でもある「情報処理推進機構」の公式サイトでも、パスワード管理の重要性はこの10年何度も発信されています。→https://www.ipa.go.jp/chocotto/pw.html
このページも含めた弊社サイトの解説ページをお読みの多くの方は「事業経営者」の方や「公的支援機関」の方あるいは「支援専門家」の方だろうと思います。
セキュリティ対策について、軽視して放置しておいて良い立場の方では無いはずです。
その立場にいらっしゃるのであれば、セキュリティ対策の入り口として、まずは「パスワードの使いまわしを徹底的に排除する」ことについて、実践を躊躇わないでぜひとも取り組んでいただければ幸いです。
ちなみに、筆者は8年ほど前に「パスワードの使い回し」の排除をすべく取り組み始めましたが、試行錯誤の結果すべてのパスワードを異なるものにしてなおかつ忘れないよう適切に管理できるようになるまでに、まる1年かかりました。(当時数えたときには、142に及ぶサービスでパスワードを設定していて、最初の段階ではそのほとんど全てが同じパスワードの使いまわしでした)
その後運用の方法や作成ルールを少しずつ修正して現在に至っていますが、正直なところ、パスワードの設定と運用は「慣れてしまえば、何の負担もストレスもなく、むしろ安心安全を獲得できているメリットを感じられることのほうが多い」というのが実感です。
読者の皆さまの場合も、この解説記事を読んだからといってササっと出来て完了、というわけには行かないと思いますが・・・ぜひ根気よくやり抜いてください。