管理しないというパスワード管理
パスワード。大変悩ましいですよねぇ。使うウェブサービスが増えるにつれて、管理しないといけないパスワードも増えていく。このパスワード数のインフレに立ち向かうために、あえて「パスワードを管理しない」という手があるんじゃないかと思うわけです。今日はそこんところを書いてみたいと思います。
パスワードって何が危険なんだろう?
だいたいどのウェブサービスでも、自分が自分であることを示すために、IDとパスワードの入力を行います。サービスによっては、他人からIDが見えることもあります。例えばTwitterは、ユーザー名が見えますよね。ということは、あとはパスワードがわかっちゃえば、なりすましされるということですね。
IDの代わりにメアドを使うサービスもありますが、メアドも他の場所から入手できる可能性があるので、半オープン状態です。やはり、パスワードが大事であることに変わりはありません。
もし、住所やクレジットカードを記入しているサービスが乗っ取られたら、実生活にも悪影響が出てきてしまいますよね。
どんなパスワード管理だとまずいか?
「よくあるパスワード」がまずい
「まさかおれのパスワードが"123456"だとはだれも思うまい」。こう考えるのは大変まずいです。
こういう意見があるかもしれません。「よくあるパスワードを使ってたとしても、試行錯誤しなくてはそれを使っているかわからないではないか」。確かにそうです。例えば、ある人のIDがaaaだったとして、「"aaa"と"password"の組合せ」や「"aaa"と"1234"の組合せ」など「よくあるパスワード」にも候補があるので、いくつか試してみないとわかりません。なので「何回か間違えるとロックするようになっていれば大丈夫だろう」と考えるかもしれません。しかし、それでもまずいです。
ある人のパスワードを見破ろうとしている場合であれば、「複数回間違えるとIDロック」は有効です。「IDを固定、パスワードを総当たり」という攻撃には有効なんですね。しかし、「パスワードを固定、IDを総当たり」という攻撃には無力です。
「パスワードを"123456"にしている人」を探し出すために、IDの方をいろいろ変えて総当たりされると、ログインされてしまう可能性があります。ログイン時の不審な動きをサイトがウォッチしていて、対策を打っていれば問題ありませんが、そうでない場合はログインされる危険性があります。なので、よくあるパスワードは危険なんですね。
「パスワードの使いまわし」がまずい
あまりないパスワードを使っていたとしましょう。しかし、そのパスワードをいろんなサービスで使いまわすと、危険です。
どこかのサービスでログインできてしまった場合、そのIDとパスワードのセットで他のサイトにログインできないか試されてしまうからです。どこか一つでも、セキュリティ対策が弱いウェブサービスを使っていたら、そこを起点にすべてのウェブサービスのIDが乗っ取られる可能性があります。
ちなみに、例えばあるウェブサービスのデータベースが乗っ取られた場合、パスワードが裸のまま保存されていたら他のサイトでも簡単に試されてしまいます。普通は、パスワードを暗号化して保存されているのでそのような心配はありませんが、パスワードが復号されない保証はありません。やはり、使いまわしは危険です。
「パスワードを書いて管理」がまずい
覚えられないからって、どこかに書いちゃうとまずいですよね。それ見られたら終わりですからね。ポストイットに書いて、パソコンまわりに貼ってる人がたまにいますけど、なんなんでしょうねぇ。。。
対策案
パスワードに添え字をつける
IDとパスワードの組み合わせが流出してしまうのが危険なわけです。なので、パスワードに一工夫する、という手があります。
例えば、Twitterのパスワードであれば、頭に「twi」とつけたり、おしりに「_t」とつけたりなど、そのサービスに関連するワードをつけてみる。このように、サイトによって決まるワードをつけて、サイトごとに違うパスワードにすれば、あるサイトからパスワードが漏れたとしても被害を減らすことができます。
あるサイトでばれてしまったパスワードから、生成ルールを解析される可能性は低いと思います。しかし、念のため、パスワードにつける添え字のルールはわかりにくくする方がいいでしょう。
メアドに添え字をつける
Gmailでは、ユーザー名の後に「+」と自由な文字をつけることができます。例えば、「aaa@gmail.com」や「aaa+bbb@gmail.com」や「aaa+abcabc@gmail.com」に送られたメールは、全部「aaa@gmail.com」に届きます。なので、+の後にサービスにちなんだ名前を付ければ、メアドとパスワードの組み合わせをわかりにくくすることができます。
ただし、これはサービスがメアドとパスワードでログインするものに限ります。また、ウェブサービスによっては、「+」の入ったメアドを認識してくれないところがあるので、この対策だけで管理するのは難しいですね。
そもそも管理しない
「管理しない」。それって管理方法って言わないんじゃないの? って感じですが、あえて書いてみます。
「管理しない」というのは、「パスワードを覚えない」ということです。ログインするたびに、パスワードリセットを行うわけです。そして、新しくパスワードを設定する、しかし、そのパスワードはまた覚えない。後はこの繰り返しです。
そんなに頻繁に使わないサービスであれば、これで問題ないんじゃないかと思います。これをするには、メールをひらける環境じゃないとダメだし、そもそもメールが乗っ取られたら終わりです。なので、メールの管理だけはちゃんとやる。このパスワードだけは厳密に管理する。
Gmailであれば、携帯を使った二重認証があるので、そうしてセキュリティを高めて使えばいいのではないかと思います。
まとめ
メインで使うメールサービスを決める。そのパスワード管理はする。使用頻度が少ないサービスは、ランダムなパスワードにして使うたびにリセットする。使用頻度が高いものは、覚えやすいもの+添え字で設定する。これでいいのではないかと。添え字がわからなくなるという場合は、添え字だけメモしておくのもいいと思います。そこだけみても他の人にはわからないですからね。
(ここであげた方法を使う場合は自己責任でお願いいたします。この方法で何か被害を受けたとしても、当サイトは一切責任を負いません)