273月

[iPod touch]パスワード管理を考えてみよう

これだけWEBサービスへの依存が高まってきますと、心配になるのがパスワードのセキュリティです。

 

パスワードの使い回しがいけないと言われていますが、人間の脳には限界というものがありまして、10も20も組み合わせを覚えるなんて難しい。

何がいけないって、たった一回きりのダウンロードのために会員登録をさせるサービスなどがあるのがいけません。

面倒臭い。

 

というわけで、ちょっと考えてみました。

以下の表を見てください。

 

棚卸:パスワード管理をサービスの重みで分類する

 

よく考えると、私たちのサービスには4つの分類があることがわかります。

メールアカウント。これは極めて重要です。これを乗っ取られるとヤバい。なにしろ、パスワード変更などの手続きを行う場合の本人確認には、「メールが読めるかどうか」だけが使われていることが多いからです。従って、他のアカウントからは隔離して考える必要があります。

 

もう一つ重要なのが財産管理に直結する銀行・証券会社・カードへのアクセスです。これらについては、WEBだけでなんとかなってしまうサービスは使うべきではありません。例えば、手元の暗号表やワンタイムパスワード発生器などを用いなければ金銭の処分ができない仕組みになっているかどうかを重視しましょう。(事前登録口座への入金を許可するかどうかは悩みどころですね)

これらのサービスは、身ぐるみ剥がれた場合のショックが大きいので、利便性を犠牲にするべきです。

私も、昔、某銀行の口座を持っていましたが、当時は口座番号とパスワードの組み合わせで多くの手続を完了できたため、危険過ぎると判断して解約しました。

 

 

次に重要なのは、「通販サイト」です。iTunes Storeや、Amazon、楽天など、お金が絡んでいるサイトについては、犯罪に巻き込まれるおそれがあるので、ある程度慎重に扱う必要があります。しかし、これらのサイトは、メールアドレスの乗っ取りさえなければ、オーダー確認メールが送られてきますから、即座にメールを確認できる環境にいる人なら、比較的早めに異変を察知できるでしょう。その意味で、身ぐるみ剥がれるほどのリスクはありません。

危険を素早く察知するために、通販用のアカウントは閲覧頻度の高いもので、かつ、スパムフィルタがあるものがよいでしょう。スパムに飲み込まれたりして見落としたら困るからです。

 

そして、その他のどうでもよいサイト。

おそらく、問題はこれらの「どうでもよいサイト」から発生しています。悪意があるサイトもあるでしょうし、最初は悪意がなくても、経営の行き詰まりに応じて悪意に転じることもあるでしょう。悪意はないものの、管理能力の低さから、IDとパスワードが流出するケースも考えられます。

従って、これらのサイトは、他の3つとは分離して管理した方が安全です。

 

アカウント名にはメールアカウントを流用しない

任意文字列をアカウント名称に利用できるというのは便利です。

しかし、ここでメールアカウントと同一にするのは危険。せっかくメールアカウントを使わないで済むようにしてくれているのですから、別のものにしましょう。これだけで、ぐんとセキュリティ強度が上がるはずです。

アカウント名で、gmailとかyahooメールとかgooメールなどを試されたりしたら、面倒でしょう?

 

 

捨てサービスに使うメールアドレスを決める

事故が起こっても惜しくないサービスというのはあるもので、そういう捨てサービス用のアカウントを持っていれば、怖くありません。

 

 

「紙の」ノートを作る

では、アカウントの棚卸しが終わったら、紙のノートを用意しましょう。

そして、パスワードを10個ほど作り、連番を打ち、ノートに記載します。これは忘れた場合用なので、持ち歩かず、机の中など、なくさないところにしまいます。

 

10のパスワードを「メール用」「通販用」「その他サービス用」に分けます。

先の説明したように、これらは互いの壁を越えて使い回してはいけません。「銀行・証券」などについては、サービスにより、パスワードの重要度が違いますので、ここでは説明しません。

 

AwesomeNoteで管理する

AwesomeNoteは、パスワードのかかるフォルダを持てるので、そこにメモしましょう。

Awesome note

 

その際、サービス名はわかりにくい符丁にすること。パスワードは紙のノートの連番だけを記載することが重要です。みなまで書いてしまうと、AwesomeNoteやEvernoteをクラックされた場合にえらいことになります。

 

例えば、

宮城県 : hで始まるやつ : 4

という具合です。あ、これね、今考えました(笑)。

「楽天=イーグルス=仙台=宮城」

「hで始まるアカウント名称=hitobashira」

「4番目のパスワード」

という具合です。

 

間違っても

密林:gmail : 3

というのはダメですよ。アマゾンでgmailアドレスというのがわかっちゃうじゃん。

 

そうですねぇ

川 : h@g : 3

あたりでどうですか。

 

まぁ、あまりぶっ飛びすぎて、なんのことか分からなくなったら意味がありませんが・・・・

 

 

管理人:人柱太郎 登録者

関連記事

コメントを残す

メールアドレスが公開されることはありません。

This blog is kept spam free by WP-SpamFree.