パスワード管理

パスワード

インターネットのサービスの増加によって増え続けるパスワードを管理する方法に悩んでいる人は多いのではないでしょうか。

パスワードの要件

パスワードの要件によってパスワードの管理方法も変わってきます。

要件には昔と今では随分変わっているものがあります。

  • 長い
  • 文章
  • 数字、記号、大文字/小文字混在は不要
  • 無期限
  • 使い回さない

長い

パスワードの文字数は長ければ長いほど破られにくくになります。

総当り攻撃(Brute Force Attack)によるパスワード解読が事実上不可能になるためです。

総当り攻撃とはすべての文字を総当りで試してパスワードを解読する方法です。

もし連続してパスワードを間違えたら一定時間ログインできない、などの措置がないシステムであれば5~6文字のパスワードなど総当り攻撃によって、すぐに解読されてしまいます。

しかし、総当り攻撃はパスワードが長くなると解読時間が飛躍的に増え、10文字のパスワードであれば英字のみであっても解読に10年単位の時間が必要になります。

12文字以上のパスワードなら総当り攻撃では事実上解読不可能です。

昔はパスワードに使える文字数が少ないサービスが多かったためか、パスワードを長くするという話はほとんどなかったのですが、現在ではパスワードは長くするのが基本です。

文章

password(パスワード)の「word」とは単語のことですが、単語をパスワードに使うべきではありません。

辞書攻撃(Dictionary Attack)によって解読されるためです。

辞書攻撃とは辞書にある単語を試してパスワードを解読する方法です。

たとえ、パスワードに「floccinaucinihilipilification」(軽視、軽蔑)という長い(29文字)の単語を使ったとても辞書攻撃によって解読されます(連続してパスワードを間違えたら一定時間ログインできない、などの措置がないサービスの場合)。

総当り攻撃と違って辞書攻撃の解読時間はパスワードの長さに関係ないためです。

また通常、単語のパスワードでは前述の「長い」要件を満たせません。

そのため、パスワードは単語でなく文章にします。

例えば以下のような感じです。

KyouhaTennkigaIi

これも昔はパスワードの文字数制限のためにできないサービスが多かったと思います。

数字、記号、大文字、小文字混在は不要

昔はパスワードの数字、記号、大文字、小文字混在を要求するサービスが多くありました。

単純な単語をパスワードに設定できないため、辞書攻撃によるパスワード解読を避けることができます。

しかし、文字種の混在によってパスワードは複雑にはなりますが、長くなるわけではないため総当り攻撃に対しては無意味です。

文字種の混在は昔のパスワードの文字数に制限のあるシステムでは意味があったのでしょうが、長いパスワードを使える現在であれば不要です。

無期限

無期限とはパスワードに有効期限を無しに設定することです。

昔はパスワードに有効期限を設定し定期的に変更するのが安全とされていましたが、現在では見直されています。

定期的にパスワードを変更すると、すぐに見れるノートなどにパスワードを書いておくようなことをやってしまいがちです。

使い回さない

異なるサービスで同じパスワードを使い回さないようにします。

これは昔も今も変わらない要件です。

サービスの提供者から利用者のIDとパスワードが漏洩することがあります。

そうして漏洩したIDとパスワードでいろいろなサービスにログインを試みる攻撃手法があるためです。

この要件を完全に満たすためにはサービス毎に異なるパスワードが必要になります。

長いパスワードが使えるシステムであれば、以下のようにパスワードにサービス名などを含める方法があります。

BokunoSukinaGmail

パスワードの決め方

前述の要件から導かれるパスワードの決め方の基本は

サービス名などを含む長い文章

です。

数字、記号、大文字、小文字の混在も定期的な変更も不要です。

しかし、パスワードに以下のような制限があるサービスでは制限に合わせてその基本を崩すしかありません。

  • 長いパスワードを設定できない。
  • 数字、記号、大文字、小文字の混在を強制される。
  • 定期的なパスワード変更を強制される。

こうした制限に合わせてパスワードを考えるのが面倒であれば、「パスワードジェネレーター」を使う方法があります。

パスワードジェネレーターとはパスワードの制限に合わせてパスワードを自動的に生成する機能で、1Passowrd(後述)などのパスワード管理アプリに搭載されています。

ブラウザのパスワード自動入力機能

主要なブラウザにはパスワードの自動入力機能が搭載されています。

そのため、ブラウザに保存できるパスワードであればブラウザを簡易的なパスワード管理アプリとして使うこともできます。

ブラウザに保存されたパスワードは以下の手順で確認できます。

Chrome

「設定」メニューから設定画面を開き、「パスワード」をクリックします。

設定

Chromeに保存されたウェブサイト、ユーザー名、パスワードの一覧が表示されます。

しかし、パスワードはマスクがかかっていて見ることができません。

マスクを外してパスワードを表示するには下図の赤丸の箇所をクリックします。

自動ログイン

Edge

「設定」メニューから設定画面を開き、「プロファイル」の「パスワード」をクリックします。

プロファイルのパスワード

Edgeに保存されたWebサイト、ユーザー名、パスワードの一覧が表示されます。

Chromeと同様にパスワードはマスクがかかっていて見ることができません。

マスクを外してパスワードを表示するにはやはりChrome同様、下図の赤丸の箇所をクリックします。

自動的にサインインする

Safari

MacのSafariではメニューバーの「Safari」-「環境設定」を選択し、設定画面の「パスワード」をクリックします。

Macにログインしているユーザーのパスワードを入力します。

Safariに保存したWebサイト、ユーザー名、パスワードの一覧が表示されます。

ChromeやEdgeと同様、パスワードにはマスクがかかっていて見えません。

マスクを外してパスワードを表示するにはマウスで行をクリックします。

パスワード管理アプリ

ブラウザのパスワード入力では不安、または機能不足であればパスワード管理アプリの定番である「1Password」がおすすめです。

1Passwardはその名の通り、1つのパスワードを覚えておくだけで複数のパスワードや以下のような重要データなど管理できます。

  • クレジットカード情報
  • 銀行口座情報
  • ライセンスキー

ブラウザのパスワード入力機能を使わず、つまりブラウザにパスワードを保存することなく1Passwardでブラウザにパスワードを自動入力させることもできます。

1Password
AgileBits, Inc.
公式サイトより1,600円お得

コメント