パスワードの強度の重要性は、誰もが認識しているでしょう。しかし、利用しているパスワードの数が多くて、しばらく使っていないものは覚えていなかったりしませんか?
そこで今回は、古いパスワードのアップデート、新パスワードの作成、そしてその有効な管理方法について、ご紹介します。
パパッとできる作業ではありませんが、シンプルな工程をいくつか踏むだけなので、是非試してみてください。
- パスワードの法則を作る
- 古いパスワードをリカバーする
- 使用しているブラウザ・モバイルの全てに、統一のパスワード管理拡張機能・プライグインをインストールする
- 作成した新しいシステムを、全てのウェブサイトで使用する
以下、詳しく紹介します。
まず、ポイント
サイトごとに、異なる強いパスワードを作成し、使用するのがポイントです。簡単なパスワードや、辞書に載っているような言葉で作成したパスワードは、容易にクラックされます。さらに、パスワードを暴くサイトも数多く存在するので、同じパスワードや似た文字列のパスワードを、複数ヶ所で使用するのは避けるべきです。パスワードを忘れてしまった際に、再度パスワードを送信してくれるサービスの利用にも、注意が必要です。そのメールをアーカイブしていると、メールにアクセスできる人であれば、誰でも見られてしまいます。
そこで、誰にもアクセスできない、当てずっぽうで的中しないパスワードを設定し、強固な管理システムを導入しましょう。入力の必要もほぼ無くなるので、忘れてしまってアタフタすることも減ります。
パスワードの法則を作成
米 Lifehacker を立ち上げた Gina が作成したパスワードの法則(英文記事)は、コンピュターでは破れない強度を持っていながら、人が記憶できる程度のロジックでできています。
Gina は、まず各種サイトで使用するパスワードの、ベースとなるパスワードを作成するようアドバイスしています。単純な単語でなければ、なんでもOKです。そのかわり自分が覚えていられるものにしましょう。例えば、The Smiths の大ファンであれば「$ppplmgwiw$」がベースのパスワードに良いかもしれません。これは名曲「Please, Please, Please Let Me Get What I Want」の頭文字を組み合わせて、その頭と末尾に記号をくっつけたものです。
次のステップは「ベースのパスワードに、パスワードを使用するサイトの情報を付加する」こと。
利用するサービス名のアルファベットを、子音ふたつと、母音ふたつが隣合うように並び替えて、ベースのパスワードにくっつけます。例えばベースのパスワードが「asdf」であれば、Yahoo でのパスワードは「ASDFYHAO」となり、eBayでのパスワードは「ASDFBYEA」になります。
もっとシンプルな方法としては、サービス名の頭文字3つを、ベースのパスワードの末尾につけるというのもアリです。Gina の例を紹介すると(彼女のイニシャルと好きな数字がベースのパスワード)、Amazon でのパスワードは「GMLT10AMA」、Lifehacker.com でのパスワードは「GMLT10LIF」になります。
これだけで十分かもしれませんが、もう少し防御力を上げてみましょう。ベースのパスワードの末尾のみにバリエーションをつけるのではなく、ベースのパスワードの頭と末尾、両方にバリエーションをつけるのです。例えば、Electric Light Orchestraのファンで、ベースのパスワードが「**elolynne**」だとすると、Amazon のパスワードは「**amelolynneon**」となります。他にも、Amazon の母音だけを頭につけて「**aaoelolynne**」とするのも、ひねりがあって良いです。
なぜ防御力を上げたかというと、Gina の方法も良いのですが、仮に誰かにパスワードを教えることになった場合、法則に気づく可能性があります。語尾にただつけるのではなく、挟んだり、真ん中に忍ばせたり、母音だけにしたり、ひねりを加えたほうが複雑で、解読しづらいものとなります。
記号が使用できない、使える文字数が極端に少なく、サイト特有の文字を追加できない、といった場合は、数字を使いましょう。法則からはずれてしまうパスワードは記憶できないよ...という気持ちはわかります。しかし、後ほど紹介するパスワード管理ツールを使用すれば、その心配は無用です。
古いパスワードをリカバー
これには残念ながら魔法はなく、ひとつひとつこなしていくしかありません。しかし、助けとなるコツはいくつかあるので、ご紹介します。
- メールの受信ボックスを整理整頓します。少なくとも、パスワード変更を始めた日時はメモしておきましょう。これで、消しても大丈夫なパスワード関連メールの日時がわかります
- パスワードに関連したメールアドレスで、ほとんど使ってないものがあれば、そのアドレスは Gmail に統合(英文記事)しましょう。もしくは、Yahoo や Hotmail などのメールクライアントでは、IMAP 設定を使ってインポートします。最後のログインとなる場合、新しいアドレスへのメール転送の設定と、アカウントの閉鎖もお忘れなく。
- 可能なサイトでは、ユーザー名をスタンダードなものへ変更しましょう。新しいパスワード法則を使う際、悩む必要がなくなります。
- メールアカウントをハッカーから守る(英文記事)ために、秘密の質問の答えを変更しましょう。ありきたりの質問では、答えを当てられてしまう可能性があります。本当に自分にしかわからない質問を設定すると良いです。もしくは、読者の Srwight 氏のように、パスワード管理ツールを使って、ランダムのパスワードを秘密の質問の答えに設定する、という手もあります。
悪い人たちがアクセスするとまずい、メール、銀行関係、仕事関係、通販などの、プライベートな情報が含まれたサイトへの処置が、最も大切です。よく使うサイトを全て回って、パスワードのリカバー・パスワードの変更・変更後に送られてくるメールの消去を、もれなく行ってください。
パスワードを管理、保護
現在では、ほとんどのブラウザにパスワード保存機能が搭載されています。お気づきかもしれませんが、これはあまりオススメできる機能ではありません。仮にラップトップが盗まれた場合など、他人に簡単にプライベートな情報を見られてしまうからです。そこで、もっと防御力の高い管理、保護法をご紹介します。
・Firefox:マスターパスワード、タイマー 、同期
Firefox には、マスターパスワード機能があります。マスターパスワードには、少なくとも8文字以上で、記号の含まれた、辞書に載っていない文字列を使ってください。基本的には、上記で紹介したような強いパスワードを設定すればOKです。
さらに「Master Password Timeout」のアドオンをインストールすれば、しばらく席を離れている間などに、パスワードをロックしてくれます。最後に、パスワードをバックアップ、ハードドライブがクラッシュ耐性であることを確認したら「Firefox Sync」をインストールします。Firefox 4向けのビルトインですが、クラウドにパスワードをバックアップするのに最適です。利用するには、スタンダードなパスワードと「秘密のフレーズ」の両方が必要になります。パスワードには通常のパスワードの法則を使用して、秘密のフレーズは紙に書いて、大事に保管しておくと良いでしょう。
・全ブラウザ:LastPass
Firefox 以外のブラウザ(Firefoxでももちろん使えます)、もしくは複数のブラウザを使用している方は『LastPass』を利用するのが、ベストな管理法です。LastPass は、Internet Explorer、Firefox、Chrome、Safari、Opera でプラグインとして利用でき、さらに、スタンドアローン・ポータブルアプリ、ブックマークレットとして、他のシステムでも使用できます。
LastPass のサイトにログインすれば、ネットカフェなどの、セキュリティの甘い場所での利用に最適な「One Time Passwords」の作成も可能です。
LastPass にサインインし、プラグインをブラウザへインストールすれば、設定からブラウザ間のパスワード移行もできます。ブラウザだけでなく、大体のパスワード管理ツールからのパスワードのインポートも可能です。今回は、新しい強固なパスワードを作成しているはずなので、そちらを入力、保存していきましょう。それが済んだら、使用しているブラウザのパスワード保存機能をオフにして、ブラウザからパスワードの形跡を消してください。
最後に、LastPass の自動記入を可能にしてくれる、マスターパスワードを設定します。LastPass のアドオンの設定で入力し、適当なタイムアウト時間を設定したら、完了です。
・その他のパスワードシステム
有効なパスワード管理ツールは、他にもあります。「最強のパスワード管理ツール5選!」を参照してみてください。
根気よくやる
パスワードを一新するのに一番必要なのは、根気です。各種パスワードを全てリカバー、変更、更新するのは、なかなか手間のかかる作業になります。しかし、強固なパスワードを設定することは重要なことなので、途中で投げ出さず、最後までやり遂げましょう。
いかがでしたか? もっと優れたパスワード変更法、管理法を知ってるぜ! という方は、コメント欄への記入お願いいたします。
Kevin Purdy (原文/訳:松井亮太)
