[説明編]現状最強?!6文字の暗記でできる最強パスワード管理方法

クラウド

現在、サービスを利用する度にユーザIDとパスワードを要求されます。
サービスの数が増えすぎてしまいと記憶することは限界になってきてしまいます。
そこで安全に運用できるパスワードマネージャーの利用方法をご紹介します!

理解できること

この記事を読むことによって以下の内容が理解できます。

  1. パスワードが流出することのリスク
  2. パスワードを管理する基本的な方法
  3. クラウド型パスワードマネージャーのリスクを克服する方法

気になる方は是非最後まで読んでみてください。

流出のリスク

ご存知の通りアカウントが乗っ取られます。同じIDとパスワードを設定しているサービスがあれば乗っ取られるリスクが高まります。

最近はベースになる文字列を作り、サービス名のアルファベットでパスワードを挟み、好きな固有名詞を何か1つ決めて付け足し、アルファベットの一部を記号に置き換えて一つのパスワードを生成するといった方法が紹介されています。
しかし私はこの方法では強度が不十分かと考えます。

過去に「好きな食べ物は?」という秘密の質問へのの回答の多くが「pizazz」になったように考えることが似たり寄ったりだと推測される危険性が高まるからです。

このような方法でパスワードを生成していた場合、流出時にベースとなる文字列や変換ルールなどが流出することとなります。

パスワードマネージャーの利用

ベースとなる文字列を考えたりする手間も不要であり、強力なパスワードを利用することができるパスワードマネージャーが一部の人の間で人気となっています。

私はパスワードマネージャーには「Bitwarden」をおすすめしています。

Bitwardenについてはこちらの記事が分かりやすかったので詳細についてはこちらをご参照ください。

パスワードの管理に!Bitwardenが超便利でおすすめ
日々増えていく、IDとパスワード。 何とかラクに安全に管理したいと思っていましたが、やっとやる気になりました。 「Bitwarden」 これ、いいです。(*’▽

パスワードマネージャーのリスク

パスワードマネージャーには沢山のパスワードが保持されています。
そのため悪意のある人もこのパスワードマネージャーを目掛けて攻撃をしてくると思います。

リスクは主に以下に分類されるかと思います。

  1. サーバーが攻撃されて情報が流出するリスク
  2. 総当たり攻撃などによってアカウントを乗っ取られる
  3. スマートフォンやパソコンに第三者が直接アクセスし盗み見られるリスク
  4. スマートフォンやパソコンに監視アプリなどの不正なアプリが侵入し盗み見られるリスク

パスワード マネージャーのリスク対策

これらのリスクへどう対処するべきか私の考える最適な対策方法をご紹介いたします。

サーバーが攻撃されて情報が流出するリスク

このリスクに関しては考慮する必要がありません。

なぜならBitwardenはエンドツーエンド暗号化に対応しているためです。
エンドツーエンド暗号化とは?という方はこちらの記事をご覧ください。

エンドツーエンド暗号化 - Wikipedia

エンドツーエンド暗号化とは簡単に説明すると利用者のみがデータを管理する仕組みです。

データを管理するための鍵は利用者のみが所有しているため仮にBitwardenのサーバーが攻撃されてデータが漏れてしまっても悪意のある人物が中身のデータを見ることはできません。

パスワードリスト攻撃などによってアカウントを乗っ取られる

このリスクに関しては十分に考慮する必要があります。

他のサービスと同じ認証情報や強度の低いパスワードを利用していることなどが原因でアカウントを乗っ取られてしまう可能性があります。

パスワードを管理するアカウントを乗っ取られるということは全てのアカウント情報を悪意のある者に閲覧されるということになるため非常に危険で避けなければいけない問題です。

極端な話、パスワードをランダムな100文字にしてしまえば強度は十分になりますがパスワードを忘れてしまったり入力ミスによって利用者本人がログインできなくなってしまいます。

そのため強度と利用しやすさの両方を取るために私は以下の方法をベストプラクティスだと考えます。

  • マスターパスワードの強度を高める
  • 比較的簡単なPINを利用する
  • 二段階認証を利用する

図で示すと以下のイメージです。

①のPINの入力では上記で示した比較的簡単なPINを入力します。

②の認証情報返却ではPINを用いてユーザIDとパスワードを取得します。

③はその認証情報を用いてログインをします。

④で実際に情報にアクセスしています。

PINは利用者端末に保存されているため仮に流出しても悪意のある第三者にログインされるという心配はありません。

2段階認証を有効にすることによりリスクを更に下げることができます。

スマートフォンやパソコンに第三者が直接アクセスし盗み見られるリスク

このリスクに関しては十分に考慮する必要があります。

紛失した際にデバイスのロックを解除されてしまい、パスワードマネージャーにアクセスされてしまう可能性があります。

このリスクを最小限に抑え、利用しやすいベストプラクティスは以下だと私は考えます。

  • 意味のない文字をPINにする
  • 生体認証によるロックを無効化する

PINに生年月日などの文字列を指定してしまうとこのリスクへの脅威が高まってしまいます。
また顔認証などでロックを解除できるようにしてしまうとSNSに投稿されている顔写真から解除されてしまったり、寝ている間に解除されてしまったりするリスクが生じるためPINの代わりに生体認証を利用することは推奨しません。

そのためPINに関しては4〜6文字のランダムな数字を使用し生体認証を無効化することを推奨します。

6文字のランダムな数字だけ覚えましょう!

スマートフォンやパソコンに監視アプリなどの不正なアプリが侵入し盗み見られるリスク

このリスクに関しては十分に考慮する必要があります。

こちらに関しては別の記事にて対策をまとめたいと思います。

まとめ

以上がパスワードマネージャーを利用するリスクと対策の考え方になります。

ベストプラクティスをまとめると以下になります。

  1. マスターパスワードの強度を高める
  2. 比較的簡単なPINを利用する
  3. 二段階認証を利用する
  4. 意味のない文字をPINにする
  5. 生体認証によるロックを無効化する

この考え方をもとに実際に設定を行う記事がありますので興味のある方は是非読んで実践してみてください。

コメント

タイトルとURLをコピーしました