我々は、ネット上でさまざまなパスワードを入力している。SNSにログインするにも、ショッピングサイトを活用するにも、パスワードの入力を求められないことはまずありえない。
しかし、多数のパスワードを管理するのは骨が折れる話だ。中には、一つのパスワードを使いまわしている人もいるかもしれない。パスワードを作成する際も、覚えやすいように、シンプルな単語や、生年月日をそのまま使うなどしていないだろうか。
マカフィーが2017年に実施した世界パスワード調査によると、アメリカの回答者の34%が「日頃からパスワードを使い回している」と回答。さらに、ユーザーは覚えやすいように、できる限りシンプルなパスワードを作る傾向があるほか、31%の回答者は覚えやすいようにと、2~3個のパスワードですべてのアカウントを管理しているという。
だが、パスワードの使い回しは危険だ。あるサービスからパスワードが流出してしまうと、ほかのサービスでも同じものを使いまわしている場合、それらすべてに不正アクセスされてしまう可能性がある。実際、ツイッターがユーザーのパスワードを平文で保存しているバグを発見し、念のためにパスワード変更をするように呼びかけた件もあった。
今では文字を入力するだけでなく、生態認証、多要素認証などのテクノロジーを採り入れたパスワードソリューションが利用されている。たとえば、ログインの際に、パスワードだけでなく電話番号(SMS)などによる認証も必要になる「2段階認証」(ログイン認証)。パスワードが知られてしまったとしても、電話番号に届く認証番号なしではログインできなくなるため、より強固なセキュリティとなる。Twitter、Facebook、Google、Apple IDなど、2段階認証対応のサービスは多いので、設定しておきたい。
では、パスワードを設定する際に気をつけることはなんだろうか? 推測されにくいよう、アルファベットと数字や記号を入れ込んだ、なるべく長いものにしたい。「123456」などの安易なものは控えたいところ。また、サービスごとに異なるパスワードを設定しておけば、万が一パスワードが推測されたり、不正に情報が流出したりといったケースでも、悪用される可能性は下がる。
推測されにくいパスワードを作成できる、それぞれのアカウントに異なるパスワードを設定しても思い出す必要もなくなるという点で、パスワード管理ソフトを使うのも有効だ。クラウド経由でデータを共有できるソフトなら、パソコンからでもスマホからでもパスワードが同期されてすぐに使える。「短すぎるパスワードは不安だが、覚えにくい文字列を作るのも大変だ」などと悩んでいるなら、導入を検討したい。
日常的に使用するパスワードだからこそ、安易に使い回さず、気をつけて設定したいもの。今回はMcAfee Blogの「パスワードセキュリティの過去、現在、未来。そして管理の3つのポイント」を紹介しよう。
パスワードセキュリティの過去、現在、未来。そして管理の3つのポイント
かつて、パスワードは物理的な壁を超えるために使われていました。秘密の集会に参加するための合言葉や金庫を開けるための暗証番号など、枚挙にいとまがありません。デジタルの時代に突入し、パスワードは、私たちのSocialアカウントから電子メールに至るまであらゆるものに鍵をかける、個人情報のゲートキーパーという役割を担うようになりました。時代は変わっても、アクセスできなかった場所へのアクセスを可能にするというパスワードの役割は変わりません。つまり、パスワードを安全に管理することが極めて重要なのです。5月2日はWorld Password Day(世界パスワードデイ)でした。パスワード管理方法が時代と共にどのように変化してきたのか、パスワードセキュリティの過去、現在、そして未来について触れてみたいと思います。
過去
多数のパスワードを管理することは大変です。以前は、パスワードを紙切れやノートに書いて管理していました。このような手間が原因で、ユーザーは同じパスワードを複数のアカウントに使い回す傾向がありました。実際、昨年、実施した世界パスワード調査によると、アメリカの回答者の34%が、日頃からパスワードを使い回していると回答しました。さらに、ユーザーは覚えやすいように、できる限りシンプルなパスワードを作る傾向にあります(愛犬の名前や誕生日など)。
現在
残念ながら、現在もこうした傾向に大きな変化は見られません。今年のアンケート調査からも、パスワードのセキュリティは、まだまだ万全ではないことが明らかになりました。アンケートに回答したユーザーは、パスワードが必要なオンラインアカウントを平均23個所有しています。しかし、それに対して使用しているパスワードは平均で13個でした。31%の回答者は覚えやすいように、2~3個のパスワードですべてのアカウントを管理しています。また、パスワードを記憶するための最も一般的な方法は、すべてのパスワードを紙や電子媒体のリストで管理すること(52%)です。つまり、パスワードのリストがこの世から無くなるのは、まだまだ先のことになりそうです。
ユーザーが実際にパスワードを忘れてしまうと、状況はさらに悪化してしまいます。32%のユーザーが、週に1度の割合でパスワードを忘れています。48%の回答者は、パスワードを忘れてしまった場合、そのオンライン活動を完全にあきらめると回答しています。さらに、回答者の23%はパスワードを忘れることにさほどの痛みは感じておらず、すべての回答者が、平均して年2回、テクニカルサポートに電話をしてパスワードをリセットしていると回答しました。
未来
うれしいことに、パスワードセキュリティの未来は明るいと言えます。生態認証、多要素認証などの高度なテクノロジーを採り入れた最先端のパスワードソリューションがすでに利用されています。現に一部のウェブブラウザはパスワードの完全撤廃を目指しています。今後、こうしたソリューションは増えていくことでしょう。これ以外にも、未来のセキュリティに備えて、ユーザーが個人で取ることのできる対策もあります。パスワードに第一のセキュリティ関門としての役目を、確実に果たしてもらうためのポイントを以下にご紹介します。すでに他のブログでお伝えしていることと重複している部分もありますが、ご一読いただき、ご自身のパスワード管理について振り返るきっかけにしていただければと思います。
パスワード管理の3つのポイント:
1.強力なパスワードを作成:
パスワードは、私たちのデジタル生活への鍵です。不正にアクセスされることがないよう、必ず、強力で固有のパスワードを作成してください。数字、小文字と大文字、記号を織り交ぜてください。パスワードは、複雑であるほど破られ難くなります。また、「12345678・・・」などの連番や「password」など、よく使用され、簡単に暴かれてしまうようなパスワードは避けましょう。文字数は、だいたい8文字以上求められますが、可能な範囲で長めに(13文字など)しましょう。1桁増えるだけで、解読までにかかる時間が増大します。
2.アカウントごとに異なるパスワードを使用:
各アカウントに異なるパスワードを使用することで、ハッキングされた場合に、すべてのアカウントが危険にさらされる状況を避けることができます。多数のパスワードを管理することは大変だと感じるかもしれませんが、アカウントの安全を確保するための有効な対策です。
3.パスワードマネージャーを使用:
パスワードマネージャーを導入し、セキュリティレベルを上げてください。パスワードマネージャーを使うことで、強力なパスワードの作成や、多数のパスワードを覚えなければならないという問題が解消され、利用頻度の高いウェブサイトには自動的にログインできるようになります。
※本ページの内容は、2018年5月2日更新のMcAfee Blogの内容に一部追記しています。
原文: The Past, Present, and Future of Password Security
著者: Gary Davis
■関連サイト
