Apple IDやGoogleアカウント、Netflix、Amazon、PayPayなど――。私たちは、日々大量のパスワードを利用しています。パスキーなどの普及により脱パスワードの流れも少しずつ出始めているものの、まだ数年は、パスワードと付き合っていかなければいけません。そこで今回は、パスワード管理でやってはいけないことをいくつかまとめました。
スマートフォンのサービスを利用するには、パスワードと付き合っていかないといけない
1:パスワードの使い回し
まず絶対にやってはいけないことの筆頭が、パスワードの使い回しです。不正アクセスの攻撃手段の1つに、リスト型攻撃というものがあります。これは、あるサービスで流出したIDとパスワードを利用し、他のサービスへのアクセスを試みるもの。もし、複数のサービスで同じパスワードを利用していると、1カ所から漏れた情報で、簡単にアクセスされてしまいます。
また、使い回しをしていると、パスワード漏えいが発生した場合に全てのサービスで一斉にパスワードの更新をしなければいけなくなります。いちいちパスワードを考えるのが面倒になり、また1つのパスワードを使いまわしてしまうという悪循環にもなりかねません。最初から別々のパスワードを使うようにしていれば、漏えいしたサービスのみパスワード変更すればよく、後々手間もかかりません。
2:パスワードを目に付く場所に置いておく
パスワードの使い回しをしないため、重要なパスワードを忘れないようにスマホケースにパスワードを書いた紙を入れておく、PCのディスプレイに付箋で貼り付けるということもやめましょう。スマートフォンを紛失した場合も含め、いつ誰に見られるか分かりません。
少し前のデータになりますが、コンサルティング会社PwCが2020年に報告した資料によると、サイバー犯罪に関する外部関与者は、日本の場合ハッカーが47%で1位ですが、顧客と競合他社が2位、3位となっており、意外と身近なところに危険があることが分かります。
不正アクセスを含むサイバー犯罪の関与者は、意外と身近なところにいます
3:推測されやすいパスワードを使わない
サービスごとに違うパスワードを使っていたとしても、それが推測されやすいものでは意味がありません。よくあるのは「123456」や「abcdefg」などの数字やアルファベットが連続したもの。また単純に「password」や「security」などの英単語を使うのも避けた方がいいでしょう。多少ひねって、「a」を「@」に「o」を「0」に置き換えるなどをしても意味がありません。こうした使い古された手法は、攻撃者側も当然熟知しているからです。
ちなみに、パスワード管理ツール「NordPass」を提供するセキュリティ企業のNord Securityが、2022年に最も使われたパスワードランキングを発表しており、それによると、1位「password」、2位「123456」、3位「123456789」となっています。このランキングは国別でも確認でき、日本の場合は1位「123456」、2位「password」、3位「1234」。ランキングを眺めて見ると、単純に数字の羅列が多い印象です。QWERTYキーボードを端から縦に打つ「1qaz2wsx」など、多少ひねったものものありますが、意味(打ち方)が推測できる時点でパスワードとしては脆弱(ぜいじゃく)といえます。
よく使われるパスワード。少なくともこのリストにあるパスワードは変えておいた方がいいでしょう
なお、トップ200に入ったパスワードを攻撃者が突破するのにかかる時間は、多くが1秒未満。ランキングに入っているようなパスワードはすぐに変えた方がよさそうです。
パスワードマネージャーを活用しよう
パスワードを使い回しせず、サービスごとに作成。そのパスワードも推測されにくいものを……となると、とても覚えられないと思う人もいそうですが、そもそもパスワードを覚えるという行為自体がナンセンスだともいえます。かといって、手帳などに書きとめておくのもセキュリティ的には避けたいところ。せっかくスマートフォンを使っているのであれば、それを活用しない手はありません。
iPhoneならAppleのiCloudキーチェーン、AndroidならGoogleの「パスワードマネージャー」が標準で利用できます。Webサービスやアプリで利用するIDとパスワードを保存し、必要な時に自動入力させることも可能です。ランダムなパスワードを自動生成する機能もあるので、あれこれと悩む必要もありません。
AndroidではGoogleの「パスワードマネージャー」が標準で利用可能
ただ、iCloudキーチェーンはiPhoneやiPad、Macなどで利用するには手軽ですが、Androidでは利用することができません。そういった場合には、1PasswordやLastPassなどのサードパーティーツールを利用する方法もあります。プラットフォームに関係なく利用できるので、仕事ではAndroidとWindows、プライベートではiPhoneとMacという場合にも問題ありません。