セキュリティは普段の使い方や設定、セキュリティソフトなどで高めることができますが、個人情報や財産を守る最後の砦はそれぞれのアカウントに紐づく「パスワードの管理」と言えます。
ところが、ログインパスワードやApple IDのパスワードだけでなく、さまざまなソフトやWEBサービスのアカウント、オンラインバンクやECサイト、SNSアカウント、さらにはクレジットカード番号など多くのパスワードを取り扱う必要に迫られています。
理想的にはなるべく長くて複雑なパスワードをそれぞれのサービス別に設定し、なおかつ自分1人だけで管理することです。しかし、超人的な記憶力の持ち主でなければ、そのような管理方法は不可能です。
そのため、多くの人はついつい「短く」「単純」で、ペットの名前や誕生日など簡単に思い出せるパスワードを設定してしまいがちです。ところが、SNSで多くの公開情報がインターネット上に流通する現在では、そのような情報管理では不十分と言えます。また、ある程度複雑なパスワードを設定していても、複数のサービスで同じ、または単純な変更だけで「使い回し」することは、単純なパスワードを設定することよりも危険性が高いことがあります。どこか1つのパスワードが漏洩してしまった際に被害が芋づる式に広がってしまうからです。
セキュリティと利便性は、片方を高めるともう片方が低くなる「トレードオフ」の関係にあるので難しいのですが、macOS標準の「Keychain」機能などを使えばパスワードの強度を保ったままマスターパスワードだけで管理することもできます。また、信頼できるパスワード管理ツールを使うというのも1つの選択肢です。将来は「タッチID」などの生体認証によって、こうした難しいパスワードを管理するというジレンマは解消していくことでしょう。
また、これまで強固なパスワードを設定するためのNIST(米国立標準技術研究所)のガイドラインが14年ぶりに大幅改定され、「英大文字・小文字、数字、記号を組み合わせる」「90日間など定期的に変更する」といったルールが削除されています(変更が必要なのは盗まれた可能性があるときのみ)。ここではテクニカルな解説は省きますが、このようなパスワードをめぐる常識にも時代の変化があることも知っておくとよいでしょう。
●推測されやすい数字や単語はNG
誕生日:Tanaka0315
単純なもの:pa55w0rd
推測しやすいもの:Ilovecat
使い回し:pa55w0rd!1→pa55w0rd!2
破られやすいパスワードにはパターンがあります。機械的に総当たりで突破されやすい短く単純な単語や数字、公開された情報から類推しやすいパスワードを使うと突破されるまでの時間が極端に短くなります。
●パスワードへの理解を高めよう
独立行政法人情報処理推進機構(IPA)ではパスワード啓発のための漫画ポスターを15枚セットで販売しています。
【価格】2850円(税・送料込)
●全面改定された基本ルール
現在のパスワード設定方法に大きな影響を与えた「NISTスペシャルパブリケーション800-63 別表A」という冊子が2017年6月に改定され、「定期的な変更」などのルールが削除されました。
●Touch IDこそが最適解か?
ユーザの利便性を損なわずに強度の高いパスワードを用いる方法として有効なアプローチの1つが、iOSデバイスやMacBook Proで採用が始まったTouch IDです。