サイバー犯罪者はIDやパスワードを狙っています。
そのパスワードの安全度を決めているのは、私たち自身です。
基本となる「2つの鉄則」を徹底しましょう。
鉄則 1/パスワードは8文字以上、英数字・記号を混ぜる
長いほど安全です。
鉄則 2/サービスごとに異なるパスワードにする
流出事故があっても、被害を最小限にできます。
やさしい運用方法
利用するサービスが多いと鉄則の2を守るのは難しくなります。
そこで、全部のパスワードを共通部分とサービスごとに異なる部分の
組み合わせでつくるのがお奨めです。
例 SOFUTO1500;!snxt
・共通部分の「SOFUTO1500;!」は「ソフト」を「soft」ではなく
ローマ字読みの綴りにして安全度を高め、数字や記号を追加。
・サービスごとに異なる部分の「snxt」は
サービス名は4文字でと決めて「ソースネクスト」を表した例。
パスワードを忘れないために
いくら安全度が高くても忘れてしまえば台無し。そこで例えば、
共通部分は紙に書いて人知れずに保管し、サービス部分は電子ファイルで
保管するなど、記録に頼りつつも分散して安全を保ちましょう。
最後の手段は、専用サービス
どうしても覚えられないなら専用のサービスに任せる手もあります。
PC、スマホ、タブレットなど複数のデバイスで使えるものが良いでしょう。
ログイン時には、安全に生成されたパスワードが自動で入力され、
マスターパスワードを1つだけ覚えていれば良くなります。
二段階認証を設定する
上に加えて、大切な情報を預けているサイトにはサービス運営者が提供する
「二段階認証」(または多要素認証)の設定をおすすめします。
これは例えば、パスワードで認証後すぐに、事前に設定した
スマホなどにSMS(ショートメッセージ)で、毎回異なる認証番号が送られ、
それを入力しないとログインできない仕組みです。安全度が格段に上がります。
主なサービスごとの設定方法(ページ後半をご覧ください)
https://www.sourcenext.com/product/security/blog/article/2019/06/SNS_Safety/
これからはパスワードが不要に?!
ところで「パスワードレス」あるいは「パスワードレス認証」という
言葉をご存じですか。最近徐々に増えつつあるパスワードによらずに
サービスにログインできる仕組みのことです。具体的には次の通りです。
パスワードを覚える必要もなく、安全度も格段に上がります。
パスワードによらない認証の種類
・端末のカメラを用いた顔認証、指紋認証
・PIN(Personal Identification Number)による認証
その端末のみに安全に保管された文字列情報で、
短くてもその端末以外から入力してもはじかれるので安心です。
・認証アプリ
登録しておいた端末に届く通知に返答して認証。
こうした仕組みによるログイン方法は、GoogleやMicrosoftを中心に、
実際のサービスで使える例が徐々に増えています。
パスワードの負担から解放される日も、そう遠いことではないでしょう。
しかし、新しい技術のため開発する人材や設備のコストが定まっておらず、
広く、普及するにはまだしばらく時間がかかりそうです。
それまでは、先に述べた2つの鉄則を守りながら待ちましょう。
参考
「キ・ケ・ンの取説」 さまざまな手口情報をお届けしています
https://www.sourcenext.com/product/security/blog/digest/
パスワードはこうして破られる
https://www.sourcenext.com/product/security/blog/article/2019/09/about_password/
STOP!! パスワード使い回し!!
https://www.sourcenext.com/product/security/blog/article/2016/08/password-crisis/
パスワード流出の被害者にならないために
https://www.sourcenext.com/product/security/contents/pass/