銀行カード、クレジットカード、ポイントカードにツイッター、ブログにメールにフィンテック(Fintech)と便利なサービスを利用すればするほど管理が必要なアカウントやパスワードがどんどん増えて困っていませんか?
これからも便利なインターネット上のサービスが次から次へと提供されることを考慮すると、適切に管理すべきパスワードが増えていってしまうことが予想されます。
技術革新によってにアカウントやパスワードの管理が不要な世の中になることを期待していますが、まだ少し時間がかかりそうです。
今回は、そんなパスワードの管理方法についてセキュリティのプロであるものぐさSEが(自称ですが一応安全確保支援士資格は保有)詳しく考察して、これからのおすすめ管理方法をご提案したいと思います。
この記事では以下のような方にご覧いただき、参考にして頂ければと思います。
- 管理するパスワードが多くて管理方法にお困りの方
- パスワードの管理方法にはどの様な管理方法があるのかを知りたい方
- ベストなパスワード管理方法について知りたい方
それでは早速検討していきたいと思います。
■目次(読みたいタイトルをタップ、クリックすることで移動できます)
はじめに
現在ものぐさSEの管理しているパスワードは100個を優に超えています。
そのパスワードの中には銀行の暗証番号の様な重要なものから、会員制情報サイト様アカウントのパスワードの様などうでもいいようなものまで数多く存在しています。
何かしらの対策をしないと、すぐにパスワードを忘れてしまって再登録するか、最悪の場合は永遠に利用できなくなってしまうかのどちらかになってしまうでしょう。
自分のアカウントにログインできなくなってしまうのは相当ストレスがかかります。
そうならない為にも、パスワードの管理方法について定期的に見直す必要があるのではないでしょうか?
まずはパスワードの管理方法を見直す前に、JPSERT CC等のセキュリティの専門機関が推奨しているパスワードの設定や管理方法について見ていきましょう。
推奨されるパスワードの設定方法
パスワードを設定する際に推奨されている運用方法は以下のとおりです。
- 大小英文字、数字、記号をランダムに組み合わせて複雑化する
- 可能な限りパスワードの長さを長くする
- 複数のアカウント間でのパスワードの使い廻しをしない
- 多要素認証が利用可能な場合は使用する
- 電話番号や誕生日等の個人情報をもとにした文字を使用しない
- 辞書等に登録されているような単語を使用しない
この条件を全て満たすパスワードを人間が毎回考えて設定するのには限界があります。
推奨されるパスワードの管理方法
次にパスワードを管理する際に推奨されている運用方法は以下の通りです。
- パスワードを定期的に変更する
- パスワードを他人に教えない
- パスワードを他人の目につく場所に置かない
- パスワードを入力するサイトが改ざんされていないことを確認する
- パスワードを入力する際には周囲からのぞき込まれていないことを確認する
- パスワードを聞き出す様なフィッシングメールや電話に注意する
どんどん増加するパスワードを人間がきちんと管理していくのもかなり困難な状況にあると思います。
パスワード管理方法の比較
それでは推奨されるパスワード設定や管理方法を前提として、最強のパスワード管理方法について比較していきたいと思います。
パスワード管理方法の種類
世の中に存在するパスワード管理方法を整理すると以下の通りとなります。
頭の中で覚える
自分の頭の中でパスワードを作り出して、自分の頭の中で覚えておく方法です。
一番原始的な方法ですが、以下のメリット・デメリットが考えられます。
メリット
- 自分が喋らない限り情報漏洩する心配がない
- 自分の頭の中に記憶されているので、いつでも利用することが可能
デメリット
- パスワードを忘れてしまう可能性が高い
- 覚えておくパスワードが多くなると記憶違いしてしまったりして間違える
- パスワード入力時に他人に盗み見られる可能性がある
- パスワードを入力するサイトが改ざんされている恐れがある
紙に書いて保管する
物理的な紙媒体に手書きで書いて、どこかに保管しておく方法です。
メリット
- インターネット上で情報漏洩しない
- 頭の中で覚えるよりも多くのパスワードを管理が可能
- 全てのパスワードを覚える必要がない
デメリット
- 紙を紛失したり盗まれたり劣化したりする可能性がある
- 他人の目に触れない様保管方法を別途検討する必要がある
- パスワードを使用するときにその紙を持ってこないといけないため利便性が悪い
- 対象のパスワードを検索できないため探すのに時間がかかる
- パスワードを登録するのに手間がかかる
- パスワード入力時に他人に盗み見られる可能性がある
- パスワードを入力するサイトが改ざんされている恐れがある
専用端末で管理する
専用のパスワードを管理する端末があるのですが、そちらの端末にパスワードを登録して管理する方法です。
メリット
- インターネット上で情報漏洩しない
- 多くのパスワードを管理が可能
- 全てのパスワードを覚える必要がない
- 他人の目に触れても問題ないため持ち運びには便利
デメリット
- 装置が紛失したり盗まれたり壊れたりする可能性があるため保管場所を考慮する必要がある
- パスワードを登録するのに手間がかかる
- パスワード入力時に他人に盗み見られる可能性がある
- パスワードを入力するサイトが改ざんされている恐れがある
パスワードのかけられるドキュメント編集ツールで管理する
Microsoft ExcelやWord等のドキュメント編集ツールを使って、ドキュメント自体にパスワードをかけてローカルのPC等で管理する方法です。
メリット
- インターネット上で情報漏洩する可能性が低い
- 多くのパスワードを管理が可能
- 全てのパスワードを覚える必要がない
デメリット
- ファイルが盗まれたりハッキングされたりすると、情報漏洩する可能性がある
- ファイルが保存されているPCを持ち運ばないと利用できないため利用に制限がある
- 登録するのに手間がかかる
- パスワード入力時に他人に盗み見られる可能性がある
- パスワードを入力するサイトが改ざんされている恐れがある
パスワードを管理するアプリを利用する
クラウドサービス等でデータを保管するパスワード管理アプリを利用して管理する方法です。
メリット
- インターネットが利用可能であればすぐに利用できる
- 多くのパスワードを管理が可能
- 全てのパスワードを覚える必要がない
- 登録時に自動で登録してくれるので手間がかからない
- パスワードを自動入力するので、を盗み見られる可能性が低い
- パスワードを入力するサイトをアプリでチェックしているので、改ざんサイトかどうかをチェックできる
デメリット
- サービス提供元がハッキングされるとインターネット上で情報漏洩する可能性がある
- サービス提供元の障害等でデータが喪失する可能性がある
シングルサインオン(SNSログイン)を使用
Google等のポータルサイトのアカウントやTwitter等のSNSアカウントと連携して、ひとつのアカウントを使い廻せるサービスです。
代表のアカウントがあれば、それ以外のアカウントを作成する必要がありません。
メリット
- 1つのアカウントを使い廻すため、これ以上登録管理する必要がない
- インターネットが利用可能であればすぐに利用できる
- 多くのパスワードを管理が可能
- 全てのパスワードを覚える必要がない
デメリット
- ひとつのパスワードが漏洩すると、多くのサイトにの侵入されてしまう可能性がある
- 専用のアカウント情報が残らないため、登録したこと自体を忘れてしまう可能性がある
- パスワード入力時に他人に盗み見られる可能性がある
- パスワードを入力するサイトが改ざんされている恐れがある
- シングルサインオンに対応しないサイトは利用できない
ブラウザのオートコンプリートを使用
各ブラウザでログインするページ毎にアカウントとパスワードを記憶して、自動入力してくれる機能です。
ブラウザがパスワードを覚えてくれるので、パスワードを覚えておいたり入力したりする手間が省けます。
メリット
- インターネットが利用可能であればすぐに利用できる
- 多くのパスワードを管理が可能
- 全てのパスワードを覚える必要がない
- 自動入力するので、パスワードを盗み見られる可能性が低い
- パスワードを入力するサイトをブラウザで記憶しているので、改ざんサイトかどうかをチェックできる
デメリット
- オートコンプリート機能を有するブラウザを使用する必要があるため、利用環境に制限がある
- ブラウザを悪用されるとなりすまされて簡単にサイトに侵入されてしまう。
それぞれのパスワード管理方法についての考察
それぞれにメリットとデメリットが存在するため、現状では一概にこの管理方法がベストとは言い切れない状況となります。
セキュリティ対策には完璧なものは存在しません。
そのため、それぞれの管理手法の特性にあった管理方法の使い分けをして、リスクを少なくすることが重要です。
それぞれの管理方法の特徴を一覧表にまとめました。
| パスワード 管理方法 | 頭の中 | 紙媒体 | 専用端末 | 編集 ツール | 管理 アプリ | シングル サイン オン | オート コンプ リート |
|---|---|---|---|---|---|---|---|
| 保全可能な 完全性 | 低 | 中 | 中 | 高 | 高 | 高 | 高 |
| 保管場所から 情報漏洩しない 可能性 | 高 | 高 | 高 | 中 | 低 | 低 | 低 |
| いつでも 利用可能な 可用性 | 高 | 低 | 低 | 中 | 高 | 中 | 中 |
| パスワードを 忘れない可能性 | 低 | 高 | 高 | 高 | 高 | 高 | 中 |
| アカウントを 忘れない可能性 | 低 | 高 | 高 | 高 | 高 | 低 | 中 |
| 管理可能な数 | 低 | 中 | 高 | 高 | 高 | 高 | 高 |
| 他人に盗み 見られない 可能性 | 中 | 低 | 中 | 中 | 高 | 中 | 高 |
| サイトの 改ざんを検知 する可能性 | 低 | 低 | 低 | 低 | 高 | 低 | 高 |
| 保管の容易性 | 高 | 低 | 低 | 中 | 高 | 中 | 高 |
| 検索の容易性 | 高 | 低 | 中 | 高 | 高 | 中 | 高 |
| 登録や更新、削除 の容易性 | 高 | 低 | 低 | 中 | 高 | 高 | 高 |
| 被害が 拡大しない 可能性 | 中 | 中 | 中 | 中 | 高 | 低 | 低 |
アカウントの種類による最適なパスワード管理方法
それぞれの管理方法の特性をもとに、理想的なパスワード管理方法を用途別に選定していきたいと思います。
以下の表に、管理方法別の特性と推奨する用途をまとめました。
| 管理方法 | 秘匿度 | 可用性 | 記憶量 | 推奨する用途 |
|---|---|---|---|---|
| 頭の中 | 高 | 高 | 低 | 初回登録時に入力する パスワード 編集ツールやアプリの 解除用パスワード 全ての金融機関の 取引用パスワード |
| 紙媒体で管理 専用端末で管理 | 高 | 低 | 中 | インターネットで利用しない 金融機関の取引用パスワード |
| 編集ツール | 中 | 中 | 高 | インターネットで利用する 金融機関の取引用パスワード |
| 管理アプリ | 中 | 高 | 高 | インターネットでよく利用する パスワード ネットバング等の金融機関の ログイン用パスワード |
| シングルサインオン (SNSログイン) | 低 | 高 | 高 | おすすめしない |
| オートコンプリート | 低 | 高 | 高 | おすすめしない |
なお、初回のパスワード登録にわざわざ自分で覚えられないようなパスワードを登録すると、結構な手間が発生します。
なぜかというと、サービス登録時に本人認証や各種設定を行う必要があるからです。
なので、初回設定用のパスワードについては頭の中で生成して利用することをおすすめします。
で、ある程度落ち着いてからパスワードを変更して複雑化してから頭の中から別の記憶媒体にパスワードを移します。
パスワードを別の記憶媒体に移す際は、自分でも覚えられないくらい最大限複雑なパスワードにしましょう。
また移し先についてですが、インターネットですぐに利用したいパスワードについては、可用性の高いパスワード管理アプリを利用することをおすすめします。
ただしパスワード管理アプリはインターネット上で情報漏洩する可能性があるため、秘匿度があまり高くはないです。
そこで金融機関等の取引用パスワードについては、秘密度の高い頭の中で記憶するか紙媒体等で保管することをおすすめします。
インターネット上で頻繁に利用する金融機関の取引用パスワードについては紙媒体では保管場所からすぐに取り出せないのが面倒かと思われますので、編集ツール等に記入してパスワードロックをかけて外部ハードディスク等に保存しておくことをおすすめします。
ただし外出先で利用したい時が出てくると思いますので、そういった場合はクラウド上のストレージに保存することもありかと思います。
最近は金庫付きのストレージサービスを提供しているところもあります。
ここで特に重要なのが、金融機関等のログインパスワードと取引用パスワードとを別の記憶媒体に分けて登録しておくことです。
そうすることで、一つの記憶媒体の情報漏洩だけではお金の引き出すまでの一連の操作が完了できなくなります。
たとえ一つの情報が盗まれた後でも落ち着いて対策を講じることができるようになります。
ITシステムでは障害対策として冗長化を行いますが、記憶媒体の冗長化がセキュリティの事故対策としても有効であると考えています。
シングルサインオンやブラウザのオートコンプリートはとても便利で可用性が高いですが、セキュリティリスクが高くなってしまうため、なるべく使わないことを推奨します。
インターネット上で可用性の高いサービスを利用するのであれば、多要素認証(2段階認証やスマホ認証)を利用したり、ログインしたことをメールで通知してもらうログイン通知機能を利用したりして、セキュリティレベルが低下しないよう別の対策を講じるようにしましょう。
まとめ
セキュリティの秘匿度と可用性(利便性)は相反関係にあるため、可用性を追求するとセキュリティレベルが低下してしまう恐れがありますので、それを加味したうえで最適なパスワード管理方法を選択し、適切なセキュリティ対策を実施しましょう。
これからの時代のパスワード管理方法としては、パスワード管理アプリをメインにパスワード管理することをおすすめします。
使ってみると分かると思いますが、可用性が高くとても便利です。
銀行の取引用パスワード等の絶対に漏洩させたくないパスワードについては、覚えられるのであれば頭の中で、覚えられないのであれば紙で管理することを強くお勧めします。
ただしインターネット上で頻繁に使用するもので、覚えられそうにないものは編集ツールを利用し、クラウドストレージにすることを推奨します。
これが現時点でものぐさSEがおすすめする最強のパスワード管理方法となります。
パスワード管理アプリ(ツール)の比較を実施した際の詳細を以下にまとめてていますので、ご参照ください。
ログインパスワードとは別に管理する重要なパスワードの管理方法について以下にまとめていますので、ご参照ください。
