パスワードに関するあれこれ

こんにちは、たきたてはなびです。

最近、利用していたサービスでパスワードなどの個人情報の流出がありました...。

音楽のサブスクリプションサービスからメールアドレスが変更された旨のメールがあって、慌てて全てのアカウントのパスワードを見直したり変更したりする作業に追われていました...。パスワード管理って大変じゃないですか？

というわけで今回はパスワード管理に関するお話です。

そもそもの今回の私の問題点

サービスの方でパスワードが流出してしまったことについては、管理方法だったりセキュリティだったりを考えても利用者側で対応できる範囲ではないので今回は考えないことにします。もちろん信用できないサービスに登録しない、もしくは登録するときには捨ててもよいメールアドレスなどを使うといったリスク管理はできますね。(ただ、私の友人はサービスごとにどのアカウントで登録したのかわからなくなって頭を抱えていることも多いので一概に良いとは言えなさそうですが...。)

さて、やはり一番の問題点は同一パスワードを使いまわしていたことですね。

パスワードの使いまわしはいろいろなところでしないでくださいねと案内されていますし、以前からよくないとは思っていたのですが...、暗号化やハッシュ化されたパスワードが流出することはあってもそこから元のパスワードには戻せないだろうと甘く見てしまっていましたね...。というわけで、パスワードの設定や管理について見直すことにしましょう。

Googleパスワードマネージャーの利用

パスワードの簡単で安全な管理について調べていたのですが、Googleのパスワードマネージャーが一つの有効な選択肢として考えられると思います。GoogleChromeなどを利用されている方には馴染みある機能ではないでしょうか。ログインなどをしたときにブラウザの右上などに表示される「パスワードを保存しますか」というやつのことです。

Googleパスワードマネージャーではパスワードを保存するだけでなく、それを呼び出して簡単にログインする事も出来ます。そのためサイトごとに別々のパスワードを使っていても全てを覚える必要がなくなるという利点がありますね。また、Googleパスワードマネージャーにはパスワードを自動生成する機能もあります。いちいちサイトごとに新しいパスワードを考えるのも大変ですし、人が考えるよりも遥かに強固なパスワードになるので安心ですね。

ただし注意する点もあります。まずは複数の端末から利用したいサービスについてです。パスワードをGoogleパスワードマネージャーが管理してくれるということは、逆に自分自身では覚えていない事がほとんどになるため、Googleアカウントにログインしていない端末からでは全てのサイトにログインできなくなってしまうという問題点があります。ただ、Googleアカウントは複数端末で同期する事が出来るので、その利用したい別端末でもGoogleアカウントにログインすることで解決する事ができますね。

また、もう一つの注意点はGoogleアカウントに不正ログインされた場合に全てのサイトに不正ログイン可能になってしまうことです。そのため少なくともGoogleアカウントのパスワードは他のサイトで利用しないようにしたほうがいいですね。また、ショルダーハッキング(盗み見)などによってパスワードが流出してしまうこともあるでしょう。二段階認証などパスワードだけでは不正ログインされないようにする機能もあるのでこちらも併せて使っていきたいですね。

SSOを利用する

ほかにもSSO(シングルサインオン)を利用する方法があります。シングルサインオンという言葉になじみがあるかはわかりませんが、「Googleでログイン」というのは見たことがある方が多いのではないでしょうか。それです。

こちらもパスワードを作ったり覚えたりする必要がなく、簡単にログインする事が出来るようになるので便利ですね。また、もちろんこちらもGoogleアカウントそのものへの不正ログインの対策は必須になりますね。

会社でまとめて管理

ここまでは1利用者目線のものでしたが、会社でのログイン情報の管理についてもご紹介させてください。