あなたはパスワードをどのように管理しているだろうか。 キーチェーンとサファリ機能を使えば、管理はすべてMacにお任せできるうえ、 最強のランダムパスワードも自動生成してくれる。 今の時代、パスワードは自分で覚えておかなければならないものなのか。 これが今回の疑問だ。
こまめに変更する必要あるの?
私たちは、「パスワードを覚えておく」という非人間的なことをいつまで続けなければならないのだろうか。利用するサイトが3つか4つであれば記憶も無理ではないが、これだけ数が増えてくると人間の能力を超えてくる。
サファリの環境設定から[パスワード]タブを選択すると、今まで自分が使ったさまざまなサイトのユーザ名とパスワードがリスト表示される。自分のサファリを調べてみたら、234個ものパスワードが表示された。もはや使ってもいないものが大半ではあるものの、これで「パスワードの使い回しはおやめください」「パスワードは月に1回は変えてください」と平然と言ってのけるサイト運営は、本当に利用者の実情を理解しているのだろうかと疑いたくなる。
今年3月、総務省の「国民のための情報セキュリティサイト(http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/)」から「パスワードは定期的に変更しましょう」という文言が消え、「定期的な変更は不要」という文言が追加されたことが話題になった。
誤解する人もいるかもしれないが、これは「パスワードは変更しなくていい」という意味ではない。あまり頻繁に変更するとつい単純なパスワードにしてしまいがちで、それが危険だという話なのだ。 最初にランダム文字列などの強いパスワードにしたら、あとは基本的に変える必要はない(厳密に言うと、変えたところで安全性はそれ以上高くならない)。つまり、強度の高いパスワードにしておくことこそが重要なのだ。
キーチェーンなら手帳いらず
「パスワードは手帳に記録しない」というのも意外に重要だ。流出するという問題よりも、しっかり場所を把握をしておかないと、いざというときに「手帳をどこに置いたかわからない」という問題が生じ、中身もこまめに管理していないと「最新のパスワードがどれかわからない」という事態になる。
そのため、手帳に表を作って、きちんと管理をしている人も見受けられるが、これではパスワードの管理表であることが一目瞭然。落としたとき、置き忘れたときに、悪用されたり写真を撮られてしまう可能性がある。
私たちMacユーザなら、「キーチェーン」を活用するべきだろう。実際、誰もが使っていると思っていたが、周りに聞いてみると意外に使っていない人もいるようだ。すでに活用している方には釈迦に説法となってしまうが、改めてキーチェーンについて復習しておきたいと思う。
キーチェーンのメリットは、サファリで入力したユーザ名とパスワードを覚えてくれることだ。次回また同じサイトでパスワードを入力する際、自動で入力できるようになる。パスワードはアイクラウド(iCloud)で管理されるので、Macで入力したパスワードであっても、iPhoneで自動入力できる。
また、先に説明したように、Macではサファリの環境設定にある[パスワード]タブで、iOSでは設定の[アカウントとパスワード]で、保存されているパスワードを確認できる。なので、ネットカフェなどの共用パソコンを使ってアクセスしたいときにはメモ代わりにもなる。
このキーチェーンの機能があまり使われていないのは、Macのシステムやアイクラウドに破壊的な問題が出た場合、パスワードがすべてわからなくなってしまうのではという不安があるからだと思う。人間、目に見えないものに信頼を置くのはなかなか難しい。
しかし、私の知る限り、アイクラウドがインシデントを起こしてデータ消失したという話は聞いたことがない。万が一データが消失しても、MacやiPhoneというローカルにデータが残っていれば、復旧次第すぐに元通りになるはず。絶対安心と断言することはできないが、手帳で管理して、その手帳をなくしてしまう確率よりは低いのではないかと思う。
最強のパスワードは自動生成機能で
また、ぜひおすすめしたいのが、サファリのパスワード生成機能だ。新しいアカウント取得時やパスワード変更時に、ランダム文字列の強度の高いパスワードを自動生成してくれる。ランダム文字列を覚えるのはかなり面倒なことだが、もうおわかりのとおり、自分でパスワードを覚える必要はない。すべてキーチェーンが覚えてくれるのだ。
唯一困るのは、自分の端末以外からログインしたいとき。パスワードリストを開き、目的のパスワードを手入力しなければならない。ランダム文字列なので、入力するのはなかなか面倒だ。
すべてのパスワードをランダム文字列にするのに抵抗がある人は、弱いパスワードと強いパスワードの2つを使い分けることをおすすめする。ログインが必要なニュースサイトなどでは、パスワードが流出してアカウントを乗っ取られたところで、実質的な被害は少ない。こういうサイトでは、ごく単純なパスワードを設定し、使い回してしまうのだ。そして、乗っ取られると被害が大きいSNS、ECサイト、銀行などには自動生成による強いパスワードを個別に設定するといい。これで、「パスワードを覚える、管理する」という作業から解放されるはずだ。
もはやパスワードは不要の時代へ
一方で、サイト運営側もそろそろパスワード不要のログイン方法を考えるべきだ。パスワードを利用者に管理させているということは、少なからず「パスワードを忘れた」「リセット方法がわからない」等のトラブルが生じるわけで、これをサポートするためのチャンネルを作っておかなければならない。このコストはバカにならないし、サポートに連絡してくれればまだしも、ライバルサイトに逃げられてしまっては元も子もない。パスワード管理は利用者にとっても負担だが、サイト運営側にとっても解決しておかなければならない問題なのだ。
最近では、タッチID(Touch ID)をパスワード代わりにするアプリも増えてきている。また、今後はフェイスID(Face ID)を使ったアプリも数多く登場してくるだろう。さらに、独自に声紋認証を採用しているアプリもある。指紋、顔、声というのは「覚える必要のないパスワード」なのだ。
そもそも、パスワードという合言葉ひとつで本人だと認めてしまう方式そのものが危険とも言える。現在では指紋でも顔でも、簡単に生体認証が利用できる環境が整っている。「パスワードは定期的に変えましょう」などと煽るサイト運営は、いかに時代遅れでピントのずれたことを言っているのか、よく考えてほしい。運営側にとっても、利用者にとってもデメリットだらけの方式なのだ。
文●牧野武文
フリーライター。サファリのパスワード設定画面のスクリーンショットを撮影しようとしたが、実行できなかった。重要な画面なので、撮影できないようになっているのだ。初めて知ったが、アップルはこういう細かいところまで考えてくれている。