パスワード管理手順(デジタル + アナログ)
利用するWebサービスが増えるにつれて、管理するパスワードも増えていきます。しかし、人間の記憶力でこれらのパスワードを記憶することなどできません。
この記事では、筆者が実践しているパスワード管理の手順を説明します。
基本的なパスワード・ポリシー
いうまでもありませんが、パスワードの使いまわしや単純なパスワードはNGです。パスワードごとに、可能な限り長く(100文字以上)、英数記号を含むランダムな文字列を生成します。ただし、やんごとなき事情により手入力する可能性があるパスワードについては、短いパスワードを生成することがあります。
また、可能な限り二要素認証を利用します。Google Authenticator、Authyなどのアプリケーションを利用しますが、サービスによってはSMSでトークンが送られてくることもあります。
パスワード管理サービス(LastPass)
上記のようなパスワードを人間の記憶力で覚えられるわけがありません。しかし、紙に書いて管理することも困難です。そこで、パスワード管理サービスを利用します。サービスは、次の要件を満たすものを利用します。
- PC、スマートフォンの両方から利用できる
- 強力なパスワード生成機能がある
- パスワード以外もメモできる
- サービス自体が二要素認証を利用できる
筆者はLastPassを利用しています。
サービスには、パスワードの他に復旧手順なども一緒にメモしておきます。特に二要素認証を利用している場合は復旧手順が複雑になるため、忘れないようにメモしておきます。
マスターパスワード・ポリシー(Off The Grid)
パスワード管理サービスのマスターパスワードをパスワード管理サービスで管理することはさすがにできないので、これは何らかの手段で記憶する必要があります。IPAは紙にメモすることも手段の一つとして推奨しており、この手法は単純なパスワードを使用するよりよほど効果的ではありますが、紙を紛失してしまえばすぐにばれてしまいます。
そこで、アナログなパスワード生成手段を利用することにします。アナログなパスワード生成手段はいくつかありますが、ここではOff The Gridという手法を利用することにします。Off The Gridは要するに、暗号表を生成したうえで一定のルールでパスワードを生成する、という手法です。つまり、暗号表を見ただけではパスワードは分かりませんが、そのルールを知っていればパスワードを導き出すことができます。とはいえ、Off The Gridのルールそのままではわかる人にはわかってしまうので、筆者はさらに同くじルールを追加しています。
おわりに
パスワード管理は面倒ですが重要なことなので、サービスを便利に使いつつリスクも低減しましょう。
参考リンク
- Off The Grid
- 別の手法
- IPAの勧告
- プレス発表 パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ:IPA 独立行政法人 情報処理推進機構
- パスワードの使いまわしは、絶対ダメ
- プレス発表 パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ:IPA 独立行政法人 情報処理推進機構
- 総務省の勧告
- パスワード定期変更は逆に危険。その理由を総務省と内閣に聞いた | ホウドウキョク
- パスワードの定期変更は不要(パスワードが十分に長く複雑な場合)
- パスワード定期変更は逆に危険。その理由を総務省と内閣に聞いた | ホウドウキョク
- 六角暗号記帳