パスワード、パスフレーズ、資格情報の安全な保管
まず、基本から説明することにしましょう。 パスワードとは何でしょうか? その目的は何でしょうか? ここで取り上げるシナリオでは、パスワードは、サービスにサインインするときに使用するユーザー名の所有者があなたであることを証明するシークレットです。 パスワードを指定しなければ、ユーザー名だけではアカウントにアクセスできません。
資格情報とは
資格情報は、ユーザー名とパスワードを組み合わせたものです。 ユーザー名は、ユーザー アカウントの識別子です。たとえば、メール アドレスや選択した名前です。 パスワードは、資格情報の "シークレット" 部分です。
一部のアカウントでは、メール アドレスとは異なる特別なユーザー名を作成できます。 それ以外では、個人のメール アドレスを使用することが必要な場合があります。 どのような場合でも、ユーザー名は秘密ではありませんが、パスワードはそういうわけにはいきません。
パスワードの秘密度
多くのパスワードは、人々が思うほど秘密ではありません。 現在、"数十億" のユーザー名とパスワードの組み合わせが売られていますが、無料で使用できる数はそれ以上です。 それらはどこで作られたのでしょうか? それまでの侵害です。 毎年、数千件にも上る侵害が発生しています。 これらの侵害によって、多くの場合はユーザー名とパスワードを含むアカウント情報と共に、あらゆる種類の個人データが公開されます。
"データ侵害" とは何でしょうか? なぜ注意する必要があるのでしょうか? データ侵害は、公表してはならない情報が盗まれることです。 多くの場合、これは、ハッカーがセキュリティ システムの欠陥を利用した場合、または企業が、セキュリティ設定が有効ではない状態で誤ってデータベースを公開してしまった後に、ハッカーがデータを取得した場合に発生します。 その後、この情報は、ID の窃盗、脅迫、嫌がらせ、その他の犯罪に使用される可能性があります。
既に使用しなくなったメール アカウントなど、注意を払っていない可能性のあるアカウントでも、攻撃者があなたになりすますために使用される場合があります。 攻撃者は、マルウェアを含むメールをあなたの連絡先に送信したり、あなたの名前で他のアカウントにサインアップしたりする可能性があります。 盗まれたアカウントの不正な使い方は他にも多数あります。
ヒント
HaveIBeenPwned にアクセスすると、公表されている数千件のデータ侵害のいずれかで、あなたの 1 つ以上のアカウントが漏洩されていないかどうかを確認できます。 古いパスワードについても、それらが侵害によって漏洩していないかどうかを確認できます。
そこに自分の情報が公開されていても、心配しないでください。 識別されたアカウントのパスワードを変更し、新しいシークレットをパスワード マネージャー (これについては後で簡単に説明します) に保存するだけで済みます。
1 つの強力なパスワードだけでは不十分な理由
これまで見てきたように、データの一部が既に盗まれたり、漏洩したりしていると考えて間違いありません。 複数のサービスや Web サイトで同じパスワードを使用している場合、攻撃者は、その盗んだパスワードを再利用して、あなたのより多くのアカウントやデータにアクセスすることができます。
アカウントごとに異なるパスワードを使用している場合、1 つのアカウントの 1 つのパスワードが盗まれると、そのアカウントだけが危険になります。 この場合は、1 つのパスワードだけをリセットして、そのアカウントを安全な状態に戻すだけで済みます。 データ侵害が発生するたびに、多くの異なるアカウントで再利用されたパスワードを変更する必要がある場合と比べてみてください。 一意のパスワードを設定することが時間の節約になる理由がおわかりになるでしょう。
しかし、どうすれば、すべてのアカウントの異なるパスワードを記憶しておくことができるでしょうか? 数十、数百ものアカウントを持っている場合はどうなるでしょうか? どうすれば、これらのすべてのパスワードを安全に保護することができるでしょうか? 次に、いくつかの適切なオプションを示します。
- ノートに書き留めて、安全な場所に保管する。 通常は、ハッカーが物理的にあなたの金庫にアクセスしてそれを開くことはできないため、セキュリティが確保されます。
- パスワード マネージャーを使用します。 パスワード マネージャーはパスワードを格納するためだけに設計されているため、セキュリティが確保されます。 パスワード マネージャーは、所有するユーザーだけが知っているキー (シークレット パスワードまたはパスフレーズ) を使用してのみ、開くことができます。 パスワード マネージャーは便利でもあるため、使用される可能性が高くなります。
パスワードを書き留めておいたノートを金庫に保管するのは使い勝手が良くないため、パソコンやスマートフォンを使用するほとんどの人々にとっては、パスワード マネージャーの方が優れたオプションです。 パスワード マネージャーは、慎重に扱えば最も安全なオプションです。 この場合、"慎重に" とは、以下を行う必要があることを意味します。
- 短いパスワードではなくパスフレーズを使用します。
- "多要素認証" を使用して、さらにセキュリティを強化します。
多要素認証については、このトレーニングで後ほど説明します。
パスワードよりも優れているものとは何か?
"パスフレーズ" とはどのようなもので、パスワードとはどのように違うのでしょうか?
以前は、強力なパスワードにするための推奨事項は、8 文字を使用することでした。 それらの文字には、1 つ以上の大文字、数字、および特殊文字 (!、:、@、*、$、# など) を含める必要がありました。 このガイダンスによってパスワードは、ハッカーにとっては簡単に解読でき、ユーザーにとっては覚えるのが難しいものになりました。 ユーザーは、これらのルールをすべて満たす最も単純なパスワードを作成しがちでした。 さらに悪いことに、ユーザーがこのような弱いパスワードを他のアカウントに再利用することがよくありました。
1 つの有名な例として、Pa$$w0rd というパスワードがあります。 これはすべての条件を満たしていますが、最も一般的に使用されている 1,000 個のパスワードの一覧で上位にあります。 ハッカーは、その他のパスワード一覧 (最も一般的に使用されている 1,000,000 個のパスワードなど) にもアクセスでき、それらをパスワード解読ソフトウェアに入力するだけでよいのです。
自分のパスワードが一度も使われていないと思った場合、"ブルート フォース" 攻撃を仕掛けるためのツールが存在することを知っておく必要があります。 この種の攻撃においては、パスワードを推測するために、すべての文字のあらゆる組み合わせが試行されます。 コンピューターは短時間で推測することに優れています。ですから、自分のパスワードは決して推測されることはない、と思わないでください。
ヒント
使用するパスワードまたはパスフレーズはどれも、15 文字以上である必要があります。 この数に達するのは、パスフレーズを使用すると (5 つの単語を使用すると特に) 簡単です。
セキュリティが確保される複雑なパスワードまたはパスフレーズの作成
短い複雑なパスワードよりも優れているものは何でしょうか。 長い、複雑なパスワードでしょうか。 残念ながら、それらは入力が難しく、覚えにくいものです。
入力が簡単で、しかも覚えやすい別の方法は、"パスフレーズ" です。 パスフレーズは、複雑なパスワードの代わりに使用される、ランダムに選択された複数の単語です。 古くからある例としては、Web 漫画 XKCD #936 で不滅になった "correct horse battery staple" があります。
この漫画の例は、複雑に見える短いパスワードの方が、覚えやすい単語をつなげた長いものよりも、コンピューターにとっていかに推測が簡単かを示しています。 パスフレーズの単語は、長い複雑なものよりもとても覚えやすいことがおわかりでしょう。
自分独自のパスフレーズを作成するにはどうすればよいでしょうか。 1 つの簡単な方法としては、室内にある周囲の物から 4 つの単語を選びます。 次に、自分に固有のものを表す 5 番目の単語を途中のどこかに追加します。 すばらしいパスフレーズが作れました。
たとえば、speaker card recyclable antenna sheetrock とします。 そのようなパスフレーズ (この例を再利用せず、独自に作成してください) を使用してパスワード マネージャーをセキュリティで保護すると安全です。 別の単語、あるいは数字またはその他の文字の組み合わせを追加すると、さらに良くなります。 別の言語の単語を知っている場合は、そのうちの 1 つを追加することもできます。
独自の単語を使用してパスフレーズを作成し、自分のすべてのアカウントで異なる複雑なパスワードまたはパスフレーズを使用する準備ができたら、次は何をすればよいでしょうか。 セキュリティが確保された状態を維持しながら、それらすべてを追跡するにはどうすればよいでしょうか。
便利なパスワード マネージャー
過去 10 年間、"パスワード マネージャー" は、すべてのパスワードを記憶しなくてもアカウントのセキュリティを簡単かつ便利に維持できるようにするために改善されてきました。 パスワード マネージャーは、すべてのパスワードを必要になるまでロックするプログラムです。これは金庫と同様です。
自分のパスワードにアクセスするには、覚えやすく解読されにくい 1 つのパスフレーズを使用します。 また、パスワード マネージャーによってデータが暗号化されるので、"暗号化解除" (ロック解除) のためのキーを持っていないと、だれもデータを使用できません。
まず、信頼できるパスワード マネージャーを探す必要があります。 よく知られている、便利で評価の高い 4 つのパスワード マネージャーを紹介します。 これらは Windows、macOS、およびほとんどのスマートフォン上のすべてのブラウザーで動作します。
- 1Password
- LastPass
- Dashlane
- Bitwarden
1Password を除くすべてに、無期限に使用できる無料プランがあります。 このドキュメントの執筆時点では、1Password のみ、14 日間の無料試用版があります。
これらのパスワード マネージャーのいずれかをテストするには、プログラムをパソコンまたはスマートフォンにダウンロードして使ってみてください。 クレジット カードがなくても、1Password 以外はすべて無料で使用できます。 そのほとんどには、有償で利用できる追加機能があります。
また、パスワード マネージャーの "ブラウザー拡張機能" (インターネット ブラウザーで実行されるプログラム) をインストールすることも検討してください。 これらの拡張機能により、セキュリティは確保されたまま、ブラウザー使用中のオンラインでのサインインが大幅に便利になります。
パスワード マネージャーをインストールしたら次に何をするか?
パスワード マネージャーを用意できたので、基本的または再利用されたパスワードがあれば変更し、それらが複雑 (長さがあり、多様) になるようにする必要があります。 また、それぞれを複数のアカウントで使用していないことを確認します。 更新を行っている間は、すべてのパスワードを変更し、それらのアカウントをパスワード マネージャーに追加する良い機会です。
パスワード マネージャーによっては、変更を加える際に長い複雑なパスワードが生成されます。 優れたパスワード マネージャーであれば、新しい入力や更新も自動的に記録されるため、その情報を 2 回入力する必要はありません。
アカウントとパスワードが安全に保存されたので、サインイン情報を 1 か所で表示して管理できるようになります。 住所、クレジット カード番号、パスポート番号のような他の秘密情報を追加し、保存することができます。
これで、より便利になります。 たとえば、Web サイトにアクセスすると、パスワード マネージャーによってユーザー名とパスワードが自動的に入力されます。 パスフレーズを使用して資格情報コンテナーをロック解除する限り、以後は他のアカウントに自動的にサインインできます。 パソコンから離れているときに誰かが自分のパスワード マネージャーを使うのではないかと心配な場合は、設定した時間が過ぎるとパスワード マネージャーが自動的にロックされるように設定できます。
オンライン アカウントを使用し終わったら、パスワード マネージャーを閉じるかロックすることができます。 これにより、パソコンを共有している他のユーザーが自分のパスワードを使用できないようにすることができます。
ヒント
"すべての" パスワードまたはパスフレーズをパスワード マネージャーに保存する必要はありません。 一部を自分の頭で記憶しておくことも、紙に書いて金庫または鍵付きの箱に保管することもできます。 使用するすべてのパスワードまたはパスフレーズが、長さがあって解読が困難であることを確認してください。
パスワード マネージャーを使用するその他の理由
パスワード マネージャーの最も優れている点の 1 つは、データを複数のデバイス間で安全に同期できることです。 たとえば、ノート PC 上でパスワードを更新すると、スマートフォンのアプリでも更新されます。 更新されたアカウントにスマートフォンを使用してサインインすると、更新されたパスワードが使用されます。
データが安全に保存されているかどうかが心配な場合は、パスフレーズを知らなければ、前述の推奨パスワード マネージャーに格納されているデータにはだれもアクセスできないことも知っておく必要があります。 それらの推奨パスワード マネージャーを作った会社であっても、ユーザーのパスフレーズが何であるかを知ることはできません。 これは仕様です。 他に知っている人はいないので、セキュリティがさらに強化されます。
ヒント
特に、パスワードは再利用されず、長く、多様であるため、パスワード マネージャーからロックアウトされないように十分ご注意ください。 新しいパスフレーズを記憶できるかどうかが不確かな場合は、紙に書いて、安全な場所に保管してください。 パスフレーズを覚えたことを確信できたら、その紙を破棄することができます。 それまでの間は、パスワードにアクセスするためのバックアップ計画を維持します。
また、パスワード マネージャーを使用すると、メインのパスフレーズを共有することなく、1 つまたは複数のパスワードを家族と共有することもできます。 バックアップ計画が必要な場合は、セキュリティで保護されたすべての情報について、信頼できる家族に緊急アクセス オプションを提供することもできます。
パスワード マネージャーは便利でセキュリティが確保されており、簡単に使用できます。 困難な作業のほとんどを自分の代わりに行ってくれます。 アカウントを追加する必要がありますが、1 回のみです。 その後に覚えておかなければならないのは、すべてのパスワードにアクセスするための 1 つのパスフレーズのみです。