パスワード管理に困っています。どうすればいいですか?

お客さま

最近ウェブサービスをよく利用するので、パスワードが増えてきて管理が大変です。どうすればいいですか?

パソコンサポートをしていると、よくあるのが以下の事例です。

  • すべて同じパスワードを使っている
  • パソコン内に(テキストで)パスワードを保管している

このような状態は危険ですね。また、パスワード管理に困っている方が多いようです。

それでは、どうやってパスワードを管理するべきなのか、見ていきましょう。

IDやパスワードは流出すると心得る

まず、IDやパスワードは流出すると心得ておくことが重要です。

私は、20年ほどインターネットを使っていますが、自分が使っているウェブサービスで、「メールアドレス」や「パスワード」の流出に遭ったこともあります。

「不正アクセス」や「従業員のデータ持ち出し」など、様々な要因があります。仮に、個人情報が流出しても、被害が最小限になるようにしていきましょう。

まず見ておきたい動画

IPA(情報処理推進機構)が出している動画は、分かりやすいのでぜひご覧ください。

陽だまり家族とパスワード~自分を守る3つのポイント~(約10分)

それでは、さらに詳しく見ていきましょう。

絶対にしておきたいセキュリティ対策

まず、以下の2つは必ず確認しておきましょう。

  • パスワードの使い回しはしない
  • メールのセキュリティを高める

絶対に!パスワードの使い回しはしない!

パスワードを使い回していると、一つのサービスでパスワードが流出した場合、他サービスにログインされる可能性があり、危険です。

先ほどの動画でも、使い回しているお母さんが不正アクセスを受けていましたね。

(参考)陽だまり家族とパスワード~自分を守る3つのポイント~

必ずサービス毎に、パスワードを設定しておきましょう。

メールのセキュリティを高める

パスワードを忘れた場合、メールアドレスを利用して、パスワード再設定する事が多いですね。

つまり、メールが乗っ取られてしまうと、ほとんどのサービスにログインされる状態になりかねません。

そのため、メールアドレスのセキュリティは最重要です。例えば、Gmailをお使いの場合、二段階認証を設定するなど、セキュリティを高めておきましょう。

パスワードを忘れた場合
「パスワードを忘れた方はこちら」から登録メールアドレスを入力すると、メールでパスワードをリセットするURLが届きます。
そこから、パスワードを再設定する事になるでしょう。

さらに高めたいセキュリティ対策

二段階認証を利用する

主要なウェブサービスでは、多くのサービスで二段階認証を導入しています。

IDやパスワードを入力した後に、一時的に使えるパスコードを入力する事で、二重のセキュリティとなり、より安全になります。

GoogleやAmazonなど、個人情報がたくさん含まれる・決済サービスが含まれる場合など、より重要なサービスでは二段階認証しておくと良いでしょう。

参考 不正ログイン対策特集ページ:IPA IPA 独立行政法人 情報処理推進機構

秘密の質問はまともに答えない、サービス毎に変更する

パスワードを忘れた際に「秘密の質問」に答えると、パスワードを再設定できる場合があります。

そのため、「秘密の質問」は、パスワード並に重要なものです。

「個人情報に関わる質問」や「SNSに公開している情報から推測できる質問」は避けましょう。適当に答えるか、複雑な答えにして、パスワード管理アプリなどに記録しておきましょう。

また、「秘密の質問」も他サービスと一緒にしてしまうと問題があります。例えば、一つのサービスで「秘密の質問」が流出すると、他サービスにログインされる可能性が出てきますね。

そのため、「秘密の質問」もサービス毎に設定が必要でしょう。

IDをメールアドレス以外に変更する

IDをメールアドレス以外に変更する事ができるサービスもあります。IDを任意のものに変更すると、パスワードリスト攻撃に有効です。

MEMO
パスワードリスト攻撃とは、不正に入手したID・パスワードの組み合わせでログインを試みる攻撃です。

パスワードリスト攻撃について詳しくは、こちらをご覧ください。

参考 パスワードリスト攻撃による不正ログイン防止に向けた呼びかけIPA 独立行政法人 情報処理推進機構

楽天のユーザーIDはメールアドレス以外がオススメ

楽天では、二段階認証が提供されていないこともあり、ユーザーIDをメールアドレス以外に変更しておくのがオススメです。

パスワードを他と変えるのはもちろんですが、ユーザーIDも変更しておけば、二重に安全になるでしょう。

楽天のユーザーIDは、2パターンあります。

  • メールアドレスをユーザIDとして使用
  • メールアドレス以外をユーザIDとして使用
参考 【楽天市場|公式ヘルプ】ユーザIDを変更したい場合楽天市場

ブラウザの自動入力を使わない

内閣サイバーセキュリティセンター(NISC)の「インターネット安全・安心ハンドブック」によれば、ブラウザの自動入力も推奨していないとの事です。

ウェブブラウザにパスワードを保存すると、席を離れたときに勝手に利用されたり、パソコンをクラッキングされた際に根こそぎ盗まれる可能性があります。

このあたりは、ブラウザの自動入力で利便性を取るのか、さらに安全性を高めるのか、自己判断が必要になるでしょう。

パスワードの管理方法を考える

内閣サイバーセキュリティセンター(NISC)の「インターネット安全・安心ハンドブック」では、以下の2つの方法が推奨されています。

  • パスワード管理アプリ
  • 紙のノート

パソコンがクラッキングされた際、パソコン内のテキストデータでは簡単にパスワードが流出してしまいます。

しかし、パスワード管理アプリなら暗号化しているため、安全性が高まります。また、紙のノートであれば、サイバー攻撃を受けても被害にならない点から推奨されているようです。

パスワード管理アプリ

パスワード管理アプリは、”マスターパスワード”という1つのパスワードを覚えておけば、各サービスのパスワードは暗号化して保存してくれるアプリです。

パスワード管理の定番は、1passwordでしょう。月額料金は、450円程度です。

参考 最も安全なパスワードマネージャー | 1Password1password

ウイルスバスターを販売してるシマンテックの「Password Manager」は、月額154円とお手軽です。

参考 パスワードマネージャー - トレンドマイクロTrend Micro

ノートンやマカフィーには、ウイルス対策ソフトに付随して、パスワード管理アプリを提供しているようですので、ご確認ください。

参考 ノートン パスワードマネージャーNorton 参考 ID/パスワード管理ならTrue Keyアプリマカフィー

他にも、LastPassやKeeper、最近ではオープンソースのBitwardenもあります。ご自身で最適なパスワード管理アプリを探してみましょう。

紙のノート

パソコンやスマホは苦手なので、紙でパスワード管理したいという方もいるでしょう。もちろん盗難には気をつける必要があります。

盗難のリスクまで考えると、ノートを見ても、自分しか分からない工夫などの検討も必要かも知れません。

また、以下のような専用ノートを利用するのも良いでしょう。

まとめ

パスワードの管理に困っている方が多かったので、パスワード管理と抑えておきたいポイントを解説してきました。

今回の記事作成にあたり、内閣サイバーセキュリティセンター(NISC)の「インターネット安全・安心ハンドブック」を参考にさせて頂きました。

かなり詳しくセキュリティの事が記載されているので、ご興味ある方はご一読ください。

参考 インターネットの安全・安心ハンドブックみんなでしっかりサイバーセキュリティ