パスワード管理ソフトは便利…しかし安全か?危険か?

いよいよ年の瀬で、さんざん引き延ばしていたIT系のめんどう事を、一気に処理しようとしたら、2つのサービスでパスワードが分からなくなっていました。

いつもは、ある一定のルールに則って、パスワードを決めていますが、数年アクセスしていなかったので、どうもあやふやになってしまいました。

パスワード管理ソフトの出番!?

普通なら単純にそう考えると思いますが、原発が爆発する世の中ですので、安全だと信じきっているものが安全とは限りません。

また、何か一つのサービスなどに、集中するのは便利ですが、なにかあると取り返しがつかないことも多々あります。

そこでパソコン環境のリスク全体を考える

以下の図は、個人のパスワードのリスクが及ぶであろう全体像を表しています。

赤い数字は、それぞれの管理リスクを表しています。

1.PC外の紙ベースで管理するリスク

手帳などで管理しても、外出時にノートPCとカバン等をセットにしていたら、置き忘れや盗難で逆に危険が増す可能性も…家で、別の場所で管理するならもっとも安全。

2.PC内でテキストファイルなどで管理するリスク

暗号化の有無もありますが、同じところにわかりやすい状態で存在するのは、それなりのリスクがあります。

3.PC内でパスワード管理ソフト等で管理するリスク

比較的に安全とは思いますが、PCがウイルスやマルウエアなどに感染した時の問題もあります。

4.ネット上のサービス提供会社(ECサイト等)の漏洩リスク

自分のPC環境は万全でも、サービス会社から漏れる場合がありますので、7のネットワーク上のリスクと合わせて、 同じパスワードの使い回しなどは、最も危険になります。

5.ストレージサービス等からの漏洩リスク

バックアップなどのために利用して、PCになにかあった時には役立ちますが、万一ストレージサービスの会社に何かあった場合は、7のネットワーク上のリスクと合わせて、バックアップの利便性よりも問題が大きくなることもあります。

6.クラウド型パスワード管理ソフト等の漏洩リスク

PCやスマホなどでも共有できるなど、利便性は高いのですが、サービス提供会社がハッキングなどにあった例もありますので、7のネットワーク上のリスクと合わせて、それなりのリスクはあります。

7.ネットワーク上(Wi-Fi等)の漏洩リスク

少し前にあったWi-FiにおけるWPA2の脆弱性問題のように、ネットワーク自体のリスクもあります。

結局どこでもそれなりのリスクが存在

リスクはどこにでもありますが、その存在を認知して、利用していれば良いと思います。

もっとも安全なのは、それなりの文字数の意味不明の単語の羅列を暗記することですが、誰もができることではありませんし、2つや3つのパスワードならおぼえられても、10や20になるともうどうにもなりません。

今度は逆に忘れるリスクや、アクセスできなくなるリスクが発生してしまいます。

じゃあどうする?

一定のルール+PC外のメモが安全

説明しますと、一定のルールの一例ですが、以下のようにあなたの好きな形で考えればよいでしょう。

(1.サービス名称の一部をルール化)+(2.特定のルールの数値)+(3.何らかの3つあるものの名前のひとつ)

  1. サービスに関連するワードで構成することで、他と間違えなくする
  2. 誕生日、電話番号、住所など他人でもわかるようなもの以外の数値で、ルール化したものにする
  3. 例えば信号の色のように3つあるものにすることで、万一間違えても3回入力すれば、正解になるのもを設定する

そして、PC外のメモには、ルールのヒントだけを記載しておけば、たとえメモを盗まれても、問題にはならないし、メモをみれば、自分だけはパスワードがわかることになります。

メモの例:前2後2+犬+信号

前2後2(サービス名の前から2文字、後ろから2文字)+犬(の誕生日)+信号(これは3色あるので、わすれたら3回試すことで解決)…()内は記載しません。

mail.yahoo.co.jp
ID:report
PASS:前2後2+犬+信号

上記はメモの例ですが、PASSは「maoo1228yellow」のようになります(mail.yahooからma+oo)。

難しいようでしたら、もう少し簡単にしても良いでしょう。

全部覚えたりメモをするのは面倒

銀行等の場合は、上記のようにしておけば、通常は問題がないと思われます。

それよりも、銀行等へのネットアクセスの方が問題だったりしますので、パスワード自体(質)はこのレベルで良いと思います(ネットワークの安全性やパスワードの使い回しなどの管理自体のほうが問題)。

銀行などの重要なところ以外は、PC内にデータを保存するタイプのパスワード管理ソフトがより安全でしょう。

クラウド型は便利ですが、ネット上に置くリスクを考えて、利便性か安全性かを決めましょう。

これらの選択は、その人の考え方によると思いますので、どちらも否定するものではありません。

まとめ

パソコン環境のリスク全体を考えて、パスワード管理をしましょう。
  1. PC外の紙ベースで管理するリスク
  2. PC内でテキストファイルなどで管理するリスク
  3. PC内でパスワード管理ソフト等で管理するリスク
  4. ネット上のサービス提供会社(ECサイト等)の漏洩リスク
  5. ストレージサービス等からの漏洩リスク
  6. クラウド型パスワード管理ソフト等の漏洩リスク
  7. ネットワーク上(Wi-Fi等)の漏洩リスク

結局どこでもそれなりのリスクが存在しますので、その存在を認知して、利用していれば良いと思います。

じゃあどうする?

一定のルール+PC外のメモが安全

一定のルールであなたの好きな形で、パスワードを設定することで、忘れないようにすればよいでしょう。

たとえば、(サービス名称の一部をルール化)+(特定のルールの数値)+(何らかの3つあるものの名前のひとつ)

全部覚えたりメモをするのは面倒だから

一部重要な銀行等の場合は、上記のようなルールを使って管理するのが良いでしょう。

それ以外のところでは、PC内にデータを保存するタイプやクラウド型の利便性や安全性など、その人の考え方によると思いますので、どちらも否定するものではありません。

リスクをわかった上で利用することが大切でしょう。

最終的には、パスワードの質や管理だけではなく、ネットやPC等に関わるすべてのリクス管理が必要で、それらのレベルを上げていかないと意味がありません。