もっと身近にセキュリティ

そのうち私はパスワードを覚えるのをやめた

▼パスワードの定期的変更の是非
パスワードって結局どうやって管理するのがベストなのでしょうか。古くて新しい問題であり、造詣が深い人は何万文字使っても足りないくらい、奥深い話題です。

よく議論のネタになるのが「パスワードの定期的変更」です。パスワードを定期的に変更することが善いことであるかのような言説が広まっています。しかしながら、イギリスの CESG(Communications-Electronics Security Group)という組織が公開したパスワードガイダンスには、パスワードの変更に関する指針として、次のようなことが書かれています。

  1. デフォルトのパスワードは必ず変更する
  2. 本当に必要な場合のみパスワードを要求する
  3. ユーザが安全にパスワードを保管できるようにする
  4. ユーザに定期的なパスワード変更を強要しない、漏洩が疑われるときだけにする

とても分かりやすいですね。これだけでも覚えておけば、覚えておかないより自分の身を守れると思います。

▼パスワード管理ツールの脆弱性
パスワード管理ツールは、複数の異なるパスワードを管理するのに便利なものですが、安全に管理できる保証は無いようです。

ちなみに筆者は、パスワードを頭で覚えることをやめ、数十種類のパスワードをテキストファイル(.txt)に書き、PCのローカルの暗号化領域に保存しています。パスワードはコピペで入力します。PCを使わないときは暗号化しているため、復号パスワードさえ他者に知られなければほぼ安全と考えています。
テキストファイルへのWebからのアクセスは非常に困難でしょう。ただしマルウェア感染には要注意です。

セキュリティは大事ですが、セキュリティを守るためのルールは面倒だったりします。しかし、当たり前ですが守れるルールしか守られませんから、自分が現実的に継続できる方法を模索するしかありません。パスワードは、その使用場面とシステムなどによって、どのように管理するのが適切か変わるものです。

まずは、自分がパスワードを使う場面と、そのパスワードを使って管理しているものの中で何が一番大切かを考えると、自分に合った管理策が見えてくるかと思います。