【使い回しはNG】安全なパスワードの設定・管理

インターネット上のサービスなどを利用する際に設定するIDとパスワード。「覚えられないから」と同じパスワードを異なるサービスで使い回している人も多いのではないでしょうか。今回は、パスワードの使い回しがなぜ危険なのか、どのようにパスワードを作り、管理すればいいのかなどについてご紹介します。

パスワードの使い回しはなぜ危険？

なりすましなどを防ぐために利用されているパスワード
インターネット上では、アカウントを悪用して他人になりすまし、インターネットバンキングを使い不正送金する、オンラインショッピングで不正購入する、電子メールを盗み見る、当人が意図しない情報発信を行うなどの犯罪被害が起こっています。こうした、アカウントの利用権限がない第三者による「なりすまし」などを防ぐために利用されているのが、「ユーザー認証」と呼ばれる利用制限方法です。一般的なユーザー認証では、利用者を識別する情報（ID）と、利用者本人だけが知っている情報（パスワード）が用いられます。正しいIDとパスワードを組み合わせて入力することで「本人である」と認証され、サービスなどが利用できるようになるのです。

パスワードの使い回しは「複数のロッカーを同じ鍵で開くようにしてある」ようなもの
「パスワードは秘密なのだから、使い回しても問題ない」と考えてしまう人も中にはいるかもしれません。しかし、どんなセキュリティ対策も100％安全とは限らないものです。常に「もしもIDとパスワードの組み合わせを見破られたら」、「パスワード情報などがどこかから漏れてしまったら」という場合を想定しておく必要があります。
パスワードの使い回しは「複数のロッカーを同じ鍵で開くようにしてある」ようなもの。もし、利用しているサービスでIDとパスワードの情報が漏れる事件・事故が起こった場合、そのパスワードを使い回している他のサービスすべてがリスクにさらされることになってしまいます。

安全な「パスワードの作り方」は？

使い回さないことも含め、パスワードはなるべくリスクが低い状態にしておくことが重要です。ここからは、より安全なパスワードの作り方、管理方法を見ていきましょう。

まず「危険なパスワード」を知ろう
パスワードは利用者がある程度自由に作ったり、変更したりできるのが一般的です。しかし、ここで適当にパスワードを作ってしまうと、攻撃者に簡単に見破られ、不正利用の被害に遭いやすい、いわば「危険なパスワード」を意図せず作ってしまうことも考えられます。
危険なパスワードの共通点は「自分だけでなく他人も覚えやすい、調べやすい、連想しやすい」ことにあります。設定する段階から「危険なパスワード」にならないよう意識しておきましょう。

・名前
自分や家族、ペットの名前そのものはもちろん、「yamachan」、「akkie」など、名前から連想されやすいニックネームも要注意です。

・生年月日、車のナンバー、郵便番号、社員番号
数字の組み合わせを他人が覚えるのは難しいように思えますが、調べやすい数字であれば同じことです。

・IDやメールアドレスと同じ文字列、住所、一般的な英単語
文字の組み合わせも、調べやすいID・メールアドレスのユーザー名（＠以前の部分）と同じ文字列や、住所の英字表記、誰でも連想しやすい「password」などの英単語だけを使うとリスクが高まります。

・同じ文字の繰り返しや単純な並びの文字列
「aaaa」、「0000」といった同じ文字の繰り返し、「1234」、「abc123」といった単純な並びも推測されやすい文字列と言えます。キーボードの配列を利用した「asdf」、「qwerty」なども同様です。

・文字数が少ない
パスワードはある程度文字数が多い方が安全性が高まります。「ab」など、短いパスワードは避けましょう。サービスによっては、「◯文字以上」など、パスワード設定の際に文字数の下限が決められていることもあります。

「自分は覚えていても、他人は推測したり調べたりしにくい」情報を
先にお伝えした通り、生年月日、数字、キーボードの配列順、わかりやすい並びの数字（0000、1234、aaaa、abcd）などは避けなければなりません。そこで活用したいのが、「好きな食べ物」、「好きな曲名」のような「自分は覚えていても、他人は推測したり調べたりしにくい」情報です。パスワードを忘れた際などに備えて設定することがある「秘密の質問（セキュリティ質問）」をイメージすると分かりやすいかもしれません。すでに設定している情報を使い回すことはパスワードを使い回すのと同様ですからおすすめできませんが、「好きな○○」のようにアレンジしていくと自分だけが覚えやすく忘れにくいパスワード作りのヒントになります。ただし、気を付けたいのがSNSの使い方です。「好きな○○」に関する書き込みは楽しいものですが、そこから推測できそうなパスワードにならないよう注意しましょう。また、自分で新たに考えた数字や英字の語呂合わせなども、名前を数字に読み替えるなどの単純なものでなければ、他人には推測しにくくなります。

それぞれのサービスに対して違うパスワードを作る
つまり「同じパスワードを使い回さない」こと。冒頭からの繰り返しになりますが、どんなに安全なパスワードでも「見破られるかもしれない」ということは意識しておきましょう。

安全な「パスワードの管理方法」は？

「危険な管理方法」でパスワード漏えいのリスクも
一方で、いくら安全なパスワードを設定しても、ずさんな管理方法でパスワードそのものが漏れてしまっては意味がありません。例えば、以下のような管理方法をしている場合は注意が必要です。

・誰でも直接見られる状態になっている
パソコンにパスワードをメモした付箋を貼る、すぐ手に取れるところに「パスワード管理帳」を置いておくなどといった管理方法は、便利な一方で非常にリスクが高くなります。

・ロックやパスワード認証を設定せずに端末へ保存する
パソコン内にパスワードを記録したファイルを作って保存しておく、スマートフォンのメモ帳にパスワードを書き込んで保存しておく、といった方法も、端末やファイルを誰でも開ける状態にしたままでは安全とは言えません。

アナログでもデジタルでも「鍵をかけて保管」が基本

紙や手帳などにパスワードをメモした場合は、鍵をかけられる場所へしまう習慣をつけるなど、他の人が触れないように工夫しましょう。パスワードをそのまま記すのではなく「他人にはわかりにくいパスワードのヒント」だけを記録しておくなどの方法もおすすめです。財布など肌身離さず持ち歩く品に保管しておく方法もありますが、これも落としたり、失くしたりしないとは限りません。
パソコンでパスワードを保存しておく場合は、自分専用のアカウント上に保存し、ログインの際にパスワード認証などを行うようにしましょう。ファイル自体にもパスワードを設定しておくとより安心です。スマートフォンに保存する場合も、画面ロックを設定するなどしておきましょう。

パスワード管理ツールを導入する
自分だけで複数のパスワードを管理するのが難しいようであれば、専用の「パスワード管理ツール（パスワードマネージャー）」を導入して、負担を軽減することも検討してみましょう。

二段階認証・ログインアラート機能などで「もしもの場合」も意識して
ここまでは「パスワードを漏らさない・見破られないようにする」方法をご紹介してきましたが、先にも述べた通り、どんなセキュリティ対策も100％安全とは限りません。パスワード認証に加えて、ワンタイムパスワードや顔、指紋などで再度認証を行う「二段階認証」を活用する、新しい端末からのログインがあった際などに通知を受け取れる「ログインアラート機能」を取り入れて不正アクセスがあった場合にいち早く気付けるようにするなど、パスワード認証を突破された場合を想定した体制を整えておきましょう。

まずはパスワード自体を解読しにくいものにしておき、適切に管理すること。そして、万が一パスワードが破られたときのためにも使い回しを避け、二段階認証を取り入れたり、ログインの記録をチェックしたりすることなどを意識しておくこと。「予防の備え」と「もしもの備え」の両方を意識して、被害に遭わないようにしていきましょう。

参考：
総務省│国民のためのサイバーセキュリティサイト│パスワードの設定と管理
 総務省│国民のためのサイバーセキュリティサイト│IDとパスワード
 総務省│国民のためのサイバーセキュリティサイト│安全なパスワード管理
 総務省│上手にネットと付き合おう！　～安心・安全なインターネット利用ガイド～│個人情報＆プライバシー編〜防ごう！悪用・詐欺被害・特定～
大阪府警察│ホーム
 内閣サイバーセキュリティセンター（NISC）│インターネットの安全・安心ハンドブック