40以上のパスワードを、お金をかけず楽に安全に管理する方法
最近は色んなWebサービス(Webアプリケーション)が出てきて便利ですが、ユーザー登録が必要のものも多く、新しいパスワードを作成しないといけない機会が何度もあるかと思います。
2つや3つだとまだ頭の中でも記憶できますが、4つ、5つ、、と増えていくと覚えきれず、全部同じパスワードにしてしまいかねません。
でも、パスワードを同じにすると、そのうち1つのサイトで情報流出などの問題があってパスワードが盗まれると、同じパスワードを使っている他のサイトにもアクセスされてしまうリスクが生じます。
試しに使ってみただけのサイトとかであればいいですが、GmailやFacebookなどプライベートな情報がからむサービスや、PayPalなどのクレジットカード情報と紐づいているサービスで使っているパスワードが盗まれると非常に危険です。
こういった問題に対応するためには、パスワード管理にあたって以下の点が必要だと思っています。
(A) パスワードそのものの情報を、オンラインに保存しない
(B) すべてのパスワードが異なるようにする
(C) 一般的に強度の高い(推測しにくい、文字数や文字の種類を多く使う)パスワードにする
(D) 全部覚えていなくても大丈夫
これをすべて満たす方法を考えて、一年くらい前からパスワード管理を始めました。今では40以上のパスワードを管理することができており、結構汎用性があると思うのでその方法を紹介します。
3行でまとめると、以下のようなやり方なります。
-----------------------
1. 強度の高い「基本パスワード」を何個か考える
2. パスワードを新規作成する際に、基本パスワードのうちどれか1つを選び、それを一部変更したものを使用する(どのサービスも異なるパスワードになるようにする)
3. Evernoteなどに、基本パスワードごとの登録情報(登録したサイト名と、パスワードの変更内容)を書く。ただし、基本パスワード自体は書かず、適当な別名を割り当てて記載する。
-----------------------
以下、各項目の詳細を記述していきます。
1. 強度の高い「基本パスワード」を何個か考える
基本パスワードは、自分の頭で記憶して使うもので、誰にも教えず、できればどこにもメモも取らないことが望ましいものです。すべてのパスワードの安全性は基本パスワード次第ともいえるので、推測しにくく、十分な長さがある強度の高いパスワードが望ましいです。
作る数は覚えられる範囲の数でいいですが、最低2つ、できれば3つ以上あるとより安全です(2で説明)。
パスワードの作り方のコツですが、僕が良くやっている方法は、
「好きな単語を書く→文字の間に数字や記号を挟んだりして加工する」という方法です。
例えば、"banana"という単語を使いたいと考えたとします。でも、こういう辞書に載っているような単語を使うと、簡単にパスワードが破られる危険があります。そこで、以下のような変更を加えていきます。
"banana" (最初)
"ban_ana" (真ん中に"_"を入れる)
"b1an_an1a" (最初から2番目、最後から2番目に"1"を入れる)
これだけでけっこう強度の強いパスワードになり、覚えておくこともあまり難しくありません。
例では英単語を使いましたが、所々大文字にしたり、日本語をローマ字化したものを用いるなどで、さらにパスワードの安全性は高まります。その他にもいろいろ自分ルールを取り込んでいけばより安全になるでしょう(僕もここに書いた方法に加え、さらにアレンジしています)
注意としては、例えば"banana1"とか"orangebanana"とかみたいに、単語がそのまま見えていると、パスワードの強度はあまり高くならないということです。単語の間に文字を挟んで単語を「崩す」ことで、強度を高められます。また、文字の長さは8文字以上が望ましいです。
2. webサービスでパスワードを新規作成する際に、基本パスワードのうちどれか1つをベースとして、一部変更したものを使用する(どのサービスも異なるパスワードになるようにする)
例えば、サイト"hoge"でパスワードの作成が必要になった場合、1で作ったパスワード"b1an_an1a"に対して、"_"の前に"H"を加えたもの("b1anH_an1a")を使用します。
次に、サイト"fuga"でパスワードの作成が必要になった場合、"_"の前に"F"を加えたもの("b1anF_an1a")を使用する、などとしてどのサービスでも異なるパスワードになるようにします。
最初にも書きましたが、パスワードが盗まれた場合、盗まれたすべてのパスワードとメールアドレスの情報を用いて、GmailやFacebookなどの有名サービスや、銀行などのクレジット情報が存在するサイトにアクセスされる可能性があります。
そのため、こうしてパスワードを少しでも変えておくだけでかなり安全になります。ただ、パスワードが盗まれた後に基本パスワードや他のサービスのパスワードが推測される可能性も0ではありません。
そこで、サイトの信頼性や、登録している情報の重要性を考えて、基本パスワードを使い分けるとなお良いです。
例えば、試しに使ってみるようなサイト向けの基本パスワードと、Gmailなどの重要なサイトの基本パスワードを使い分けることで、試しに使ってみただけのサイトのパスワード情報が盗まれても、Gmailのほうに影響が及ぶことはないでしょう。
3. Evernoteなどに、基本パスワードごとの登録情報(登録したサイト名と、パスワードの変更内容)を書く。ただし、基本パスワード自体は書かず、適当な別名を割り当てて記載する。
最後に、2で編集したパスワード情報を、Evernoteなどに保存します。
パスワード自体は書かず、例えば以下のように書きます。
---------------
[α]
hoge (+H5)
fuga (+F5)
[β]
Gmail (+G5)
---------------
ここで、αは基本パスワード"b1an_an1a"、βは別の基本パスワードに対応する別名として扱います。
"+H5"は、「Hを5文字目に追加」するという意味合いで、例えばサイト"hoge"なら"b1anH_an1a"というパスワードを示している、ということになります。
これらは一例で、自分が見てわかるような書き方なら何でもいいです。
このように保存しておけば、例えこの文章自体が流出しても、これだけでパスワードを知ることはできず、自分だけがパスワード情報を知ることができる資料になります。
この文章を保存する媒体は何でもいいですが、「PCでもスマホでも同じ情報にアクセス、更新できる」「PCが壊れたり、サービスが無くなったりしても失われない」ということが重要なので、僕はEvernoteを使っています。
パスワード管理方法の紹介は以上となります。
もしパスワード管理に悩んでいる人がいれば、ぜひ使用してみてください!