【今日からできる!】パスワード管理のベストプラクティス

Column

2022/04/14

Share

こんにちは!AironWorks Marketing Teamです。今日は皆さんも馴染みの深い、パスワード管理についてご紹介していきたいと思います。結論から言うと「こうすれば完璧にパスワードを管理できる」という手法はありません。あらゆるサイバーセキュリティ上の問題がそうであるように、「これさえあれば解決!」というような魔法の杖はないのが現状です。しかし、だからと言って諦観して良い訳ではありません。可能な限りの対策は実施すべきです。そこで、本記事ではパスワード管理とパスワード生成に関するいろいろな方法を紹介し、その是非について議論していきます。

Index

管理方法1:アナログメモによる管理

紙のメモ帳などに記入しておく方法です。昔ほどではありませんが、依然として多くの方がこの方法を採用しています。確かにセキュリティ上のリスクは抑えられるのですが、如何せん利便性が著しく低く、実用的でないです。例えば、「どこに書いたっけ」と記入した媒体を忘れたり、メモ帳自体を自宅に忘れてきてしまったみたいなことが起こりかねません。

管理方法2:デジタルメモによる管理

スマホなどのメモ帳やスプレッドシート・エクセルシートなどに記入しておく方法です。デジタルなので流出のリスクはアナログよりも高いですが、利便性はアナログより高いと言えます。ですが、実際他の管理方法と比べると利便性はそこまで高いとは言えない気がします。

管理方法3:ブラウザによる管理

ブラウザのパスワード管理機能を使う方法です。実際利便性は高く、かなり手軽に始めることができます。お手持ちのブラウザでしつこく聞かれるので、意識しなくても管理されていることがあるかもしれません。しかし、ブラウザは非常に複雑で、細かい脆弱性を突かれてしまうことがあります。(実際そのような脆弱性は高値で取引されていると言われています。)所属組織の情報をかなりデリケートに扱うべき場面では、一考の余地があると言えるでしょう。

管理方法4:パスワードマネージャによる管理

ブラウザ以外の純正パスワードマネージャを使用する方法です。ブラウザによる管理同様、利便性がかなり高いです。こちらも100%の安全性を保証するものではないですが、ブラウザよりシンプルなので脆弱性が存在する可能性が比較的低いと考えられます。(注:サービスにもかなり依存するので、各自様々なものを比較してから選ばれることをおすすめします。)

管理方法5:2段階認証

他の管理方法と並列で語るのは少し違和感を覚えますが、重要なのでここで紹介します。最近のSNSなどではID・パスワードによる認証以外にGoogle Authenticaterなどでワンタイムパスワードを発行したり、SMSで認証するなど2段階で認証する方法があります。こちらは絶対に設定しておくことをおすすめします

生成方法1:使い回し

実際、同じパスワードを繰り返し使用されているケースは非常に多いのではないでしょうか。利便性を考えると同情の余地もありますが、しかし一つの脆弱なアプリからパスワード情報が漏れた場合(多くのアプリがパスワードを暗号化して保存していますが…)、芋づる式にダメージを受ける場合がございます。一時期は「強いパスワードを一度作って使い回しすべき」などの論調もありましたが、やはりリスクが高いと言えるでしょう。

生成方法2:使い回し+α

利便性を保存したまま、ただの使い回しに、次の「味付け」をすることでリスクを少し下げることもできます。それは「そのサービス名を組み込む」方法です。例えば、Twitterであれば「someTWITTERpassword」のようなイメージです。(注:あくまでも一例です。)このようにすれば、芋づる式にダメージを受けるリスクを少し抑えられます。平文が判明した場合無意味なのでその点は注意が必要です。

生成方法3:パスワードマネージャでの自動生成

パスワードマネージャに自動生成させる方法です。ブラウザなどでその機能を見たことがある人は少なくないかもしれません。この場合、ブラウザやその他パスワードマネージャでパスワードを管理していることを前提としていることに注意してください。利便性は比較的高く保ちつつ、「使い回し」より断然セキュリティ強度を高められます

生成方法4:パスワードジェネレータによる生成

例えば、Googleでpassword.newと検索するとパスワード生成サイトに遷移します。(実は他にも多くの.newが存在します。)例えば、pdfのパスワードのようにショットで新しいパスワードが欲しい場合、有用です。

終わりに

いかがだったでしょうか?結論、現時点では「ブラウザ以外のパスワードマネージャ」×「2段階認証」×「自動生成」がベタープラクティスだと言えますが、各自求められるセキュリティ強度や利便性がありますので、そこを鑑みて最終的にはご自身で判断していただくのがベストかなと思います。個人として、あるいは、組織としてパスワード管理を見直す良い契機になれば幸いです。

長文ですが、最後までお読みいただきありがとうございました!