パスワード管理も安全に!

付箋だと無くなりそうですね

付箋だと無くなりそうですね

いろいろなWEBサービスでパスワードを使い回していたり、推測可能なパスワードを使っているとアカウントが乗っ取られてしまう恐れがあります。この2つはパスワード事件の代名詞であり、その対策として安心パスワードの作り方に注目が集まったりします。

参考記事:セキュリティのプロが実践する安心パスワードの作り方

しかしながら、パスワードの管理方法でも注意したいポイントがあります。たとえば、ブラウザのパスワード保存機能は大変便利ですが、漏えいしてしまうような欠陥やウイルスがたびたび発見されています。きちんと注意点を把握したうえで、自分に合った管理方法を選択したいですね。

今回は、安心パスワードを運用する代表的な方法を注意点も含めてまとめ、さらにパスワードを増やさない今どきの管理術もレポートします。

代表的なパスワード管理方法

パスワード管理方法は、記憶したり紙に手書きメモするアナログ的な方法と、エクセルやパスワード管理ソフトに記録するデジタルな方法に分かれます。

1.アナログ的な方法(記憶や手書きメモ)
パスワードを頭で記憶している場合は、偽のサービス画面に入力させたパスワードを抜き取るフィッシング詐欺やウイルス対策が主な注意点になります。キーボード入力を他人にのぞき見られないように注意するとより安心です。手書きメモする場合は、秘密になるように紙を保管したいですね。

2.エクセルなどのファイルに保存
エクセルのようなファイルにパスワードを記録しておき、ログイン時にコピペして使う方法もあります。アナログ的な方法と同じですが、ウイルスやフィッシング詐欺対策を行うことが注意点になります。また画面をのぞき見られないようにしたり、IDとパスワードを別々のファイルに保管したり、ファイルを開くためにエクセル自体のパスワードを設けることも大切です。

3.パスワード管理ソフト・アプリを利用
ブラウザには標準でパスワード保存機能がありますが、ブラウザと連動して、WEBサイトを開くと自動でパスワード入力したり保存してくれるパスワード管理ソフトやアプリを使う方法もあります。たとえば、セキュリティソフトメーカーが開発しているものもあって、トレンドマイクロのパスワードマネージャー、米ノートンのNorton Identity Safeがあります。

PC内にパスワードを保存するタイプが多いですが、クラウドにデータを保存するソフトもあります。クラウドは、PCやスマホで共有もできます。見た目が同じでもURLが違う偽サイトではパスワード管理ソフトが自動入力しません。そのため、フィッシング詐欺対策のひとつになります。またパスワードを自動入力するため、のぞき見できません。主な注意点としてはウイルス対策になります。それと信頼できる製品を使うことも重要です。

どれが安全?

どれが安全?

 

一般的に安全といわれるのは「アナログ的な方法」です。たとえば、デジタルとは違い登録してあるパスワードがごっそり流出することはなく、リスクが限られます。ただし、エクセルでも、IDとパスワードを別々に保管するような工夫がしてあれば、パスワード一覧だけが流出しても悪用しようがありません。

パスワード管理ソフトはパスワードを安全に管理するために設計されています。しかし、その反面で悪意のWEBサイトを開いただけで登録してあるパスワードが抜き取られてしまうような欠陥が有料の製品も含めてたびたび見つかっています。さらにブラウザのパスワード保存機能については、保存したパスワードを抜き取ろうとするウイルスも併せて発見されています。

プロが実践する使い分け

どの管理方法も良い点、悪い点があるため、きちんと理解して使ったり、工夫することが大切だと思います。ちなみに、私はブラウザのFirefoxのパスワード保存機能を使って自動ログインしています(備忘録は手帳)。ブラウザから漏えいしないように、OSやアプリのアップデートを行い、端末にはウイルス対策ソフトを使うことが大切です。ひと工夫としては、重要なものはアナログで管理していて、ネット銀行のパスワードは手帳です。

ちなみに、クレジットカードを登録してあるAmazonはFirefoxのパスワード保存機能を利用しています。Amazonはカード番号の下4桁しか表示されません。また発送先を変更するときはクレジットカードを再登録します。このようにパスワードが流出しただけでは悪用が難しいことと、週4回以上はログインしているため複雑で桁数の大きなパスワードを毎回手入力は大変です。そのバランスをとって、手帳ではなくブラウザに保存しています。なお、最近はダウンロード販売(音楽などはパスワードさえわかれば購入できてしまう)もあるようですので、状況に応じて手書きに見直すことがあるかもしれません。

パスワードを増やさない、という今どきの管理術

ネットショッピングでよく見かける「SNSログイン」を活用すると、アカウントが増えてもパスワードはひとつで済みます。たとえば、メルカリであればFacebookまたはGoogleのアカウントが使えます。メルカリ用にパスワードを作る必要がありません。

まずGoogleアカウントへログインします。ログインした状態でメルカリへアクセスします。
Googleアカウントにログインしておきます

Googleアカウントにログインしておきます


「Googleでログイン」を選択すると、IDとパスワードを作らずにログインできます。あとは商品を取引するための個人情報をメルカリの設定画面から登録すれば、いつでも「Googleでログイン」から取引できます。
「Googleでログイン」をクリックすると、メルカリにログインできます

「Googleでログイン」をクリックすると、メルカリにログインできます


記事「セキュリティのプロが実践する安心パスワードの作り方」で2段階認証を紹介しましたが、Googleアカウントはこの設定ができます。2段階認証のないサイトでパスワードを増やすなら、2段階認証のアカウントでSNSログインしたほうがリスクを抑えられます。ここではGoogleを選択しましたが、Facebookをお使いならこちらも2段階認証が設定できます。またメルカリにはありませんが、SNSログインでよく見かけるYahoo! JAPAN IDも2段階認証が設定できます。

これでアカウントが増えても乗っ取りリスクやパスワードを管理する手間が抑えられます。ところが、アカウントが増えれば個人情報をあちこちに登録することになり、サイバー攻撃などによる個人情報の漏えいリスクは増えてしまいます。支払い情報はプリペイドカードやコンビニ支払いで登録するなど、こちらもひと工夫したいですね。

【関連記事】
狙われるネット銀行、フィッシング詐欺からどう守る?


※記事内容は執筆時点のものです。最新の内容をご確認ください。
※OSやアプリ、ソフトのバージョンによっては画面表示、操作方法が異なる可能性があります。