増加するアカウントの管理のコツと注意点

投稿者: | 2019年7月25日

いつの間にか増加するアカウント。

たくさんのユーザーIDやパスワードを管理するはめにおちいります。

皆さんは自信をもって「きちんと管理できている」と言えるでしょうか。

私は言えません。言えませんが、それなりに管理できているとは思っています。

本稿では個人的に思うアカウント管理のコツと注意点をお伝えします。

もくじ

  • やってはいけないこと
  • どのように設定するか
  • どのように保管するか
  • おまけ

やってはいけないこと

アカウントが増えて困ることは何か。

それはIDやパスワードを忘れてしまうことです。

ここでやってしまいがちな過ちがあります。

それは「異なるサービスで同じIDやパスワードを流用してしまう」ことです。

これは絶対にやってはいけません!

「私は流用してるよ!便利だよ!てかアカウント多すぎるし仕方ないよね?」

という言い分もあります。しかしそれは今まで運よく被害が発生していないだけです。

同じパスワードなどをなぜ設定してはいけないのか。

それはリスト型アカウントハッキングの被害を避けるためです。

<外部リンク>総務省  「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表

昨今、リスト型アカウントハッキングとみられる不正アクセス事案が急増していることに鑑み、総務省では、サイト管理者などのインターネットサービスを提供する事業者が適切な対策を講じることによって、被害の拡大を防ぎ、安心・安全なインターネットの利用環境の確保に資するよう、事業者向けの対策集を作成しましたので公表します。

簡単にいうと、ひとつのサイトでアカウントが流出したら、その情報を用いて別のサービスに不正アクセスされる危険があるということです。

今現在、アカウント情報を流用していて、まだ被害にあっていない幸運なあなた!すぐにでもパスワード変更を実施してください。


どのように設定するか

どのように設定するか?簡単です。流用しないことです。

異なるサービスで、必ず異なるパスワードを設定します。

十分長い安全性の高いパスワードを設定するよう心がけましょう。


どのように保管するか

どのように保管するか?これが問題です。

完全な私見で、かつ世間的には必ずしも推奨されない方法ですが、私は以下のようにしています。

  • アカウント情報をノートにメモする(私見)
  • 基本的にはパスワードは変更しない(私見)

なぜ「アカウント情報をノートにメモする」のか。覚えられないからです。

一般的には紙にメモしては盗み見の危険があるので推奨されていないようです。

しかしこれは古い話だと思います。恐ろしく数の多いサービスそれぞれのアカウント情報をすべて覚えるなど不可能です。

無理をして覚えようとすると、パスワードを流用するなどセキュリティ上のリスクを背負うことになります。

きちんとサービスごとに異なったパスワードを設定し、それを安全にメモすることです。

紙のノートに記載した内容はどんなコンピュータウィスルにも盗めないでしょう。

これを安全に保管するよう努めます。

 

なぜ「基本的にはパスワードは変更しない」のか。メモしているからです。

30~90日での定期的なパスワード変更を推奨(または強制)しているサービスや組織がありますが、これはほとんど意味が無いと考えています。

変更して何が安全なのでしょうか?誰かに不正アクセスされていても、パスワードを変更すればその後は不正アクセスされないからでしょうか?

もし私が悪意あるユーザーだったら不正アクセスに成功した時点であらゆる悪事を短時間のうちに完遂します。1日たりともかからないでしょう。30日ごとのパスワード変更など無力です。

別の問題もあります。定期的なパスワード変更を行う場合、それを忘れないために簡単なパスワードを設定していまわないでしょうか。1月のパスワードが「password01」だとしたら2月のパスワードに「password02」を設定するような具合です。これは到底安全なパスワードとは言えないでしょう。

他のサービスと重複しない、十分長い安全性の高いパスワードを設定して、それを長く使うことが実用的だと考えています。

※ときどき個人情報流出事件などを受けて特にパスワード変更を要請される場合がありますが、この時ばかりは素直に変更します。


おまけ

どのようにパスワードを設定するのか。

長いほうが安全です。ランダムな攻撃で突破される可能性が低いからです。

複雑なパスワードは覚えにくいです(上記にメモすると書きましたが、よく入力するパスワードは結局は覚えています)。

なので覚えやすさにも注意します。

同じ長さであれば複雑なほうが安全ですが、簡単な文字列でも十分長くすれば安全性が高まります。

ひとつのアプローチとして「パスワード」ではなく「パスフレーズ」を用いるという方法があります。

「x$abU&!g」よりも「ThisIsAPen1357」の方が覚えやすいです。

英単語の辞書攻撃も気になります。「ThisIsAPen1357」よりも「ThisIsAEnpitsu1357」の方が安全でしょう。

ローマ字を混ぜたところで所詮は文章です、見透かされているかもしれません。

この場合「ThisIsAEnpitsu1357」よりも「ThisIsA1357Enpitsu」の方が安全でしょう。

記号も欲しいですか?そうであれば「$ThisIsA1357Enpitsu」でいかがでしょうか。

このルールを応用してパスワードを設定することも可能です。

記号の位置を変えましょう。数字を変えましょう。利用サービスごとの設定を覚えられない?

「Enpitsu」部分をサービスを示す文字列にして他の部分は共通でも構いません(私見)。

こんなところまで読んでいただいたあなたはセキュリティ意識がきっと高いことでしょう。

この記事を真に受けず、しかしもし気に入ったところがあればうまく取り入れて、より安全にWEBサービスと付き合っていきましょう。


おまけのおまけ

パスワード管理アプリは信用していないので使いません。ブラウザにも覚えさせません。(私見)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です