ハッカーからお客様の個人情報、財務情報、および仕事上の情報を守るものが1つあるとすれば、それはパスワードです。弱いパスワードの使い回しは、極めて簡単に解決できる問題であるにもかかわらず、数え切れないほどのデータ侵害を引き起こす主な原因となっています。

本記事では、アカウントごとに異なる強力なパスワードを使用する必要がある理由と、それを作成して覚える方法について説明します。最大の障害となるのは人間の脳です。本当に強力なパスワードを記憶するようには設計されておらず、ましてお客様が利用している多数のサービスごとに異なるパスワードを覚えることは困難です。

幸いなことに、これはまさにコンピューターが得意とする分野です。強力なパスワードを作成して記憶する最善の方法は、優れたパスワードマネージャーにそれを任せることです。

強力なパスワードを使用すべき理由

強力なパスワードの必要性は誰の目にも明らかなはずですが、壊滅的なデータ侵害に関する毎日のような報道(新しいウィンドウ)は、すべての人がアカウントのセキュリティを向上させるために対策を講じているわけではないことを示唆しています。

強力なパスワードは、ユーザー情報の盗難や詐欺に悪用される恐れのある、お客様の氏名、アドレス、電話番号などの個人情報を保護するのに役立ちます。オンラインバンキング、ショッピング、またはその他の財務取引において、クレジットカード番号、銀行口座情報、取引履歴などの財務的な詳細情報への不正アクセスを防ぐために、強力なパスワードは極めて重要です。

ビジネス環境において、強力なパスワードは、顧客データ、独自の調査、社内コミュニケーションなどの企業の機密情報が侵害されるのを防ぐのに役立ちます。

ハッカーはしばしば、ソフトウェアを使用して大量の推測候補を生成し、パスワードを解読するブルートフォース攻撃(総当たり攻撃)を行います。セキュリティ対策によってアカウントがロックされる前に、これらのプログラムが強力で複雑なパスワードを推測することは非常に困難です。また、強力なパスワードは、一般的な単語やフレーズのデータベースを実行してパスワードを推測する辞書攻撃を防ぐのにも役立ちます。

多くの人が複数のアカウントで同じパスワードを使い回しています。アカウントごとに強力でユニークなパスワードを使用すれば、万が一1つのアカウントが侵害されても、お客様の他のアカウントの安全性は保たれます。

強力なパスワードの作成と記憶方法

パスワードマネージャーについて説明する前に、パスワードの推奨セキュリティ基準を理解するためのいくつかの原則を紹介します。

強力なパスワードの条件とは?

強力なパスワードは、エントロピーが高くなります。これは、お客様のパスワードがどれだけ予測不可能かを測定する方法です。パスワードのエントロピーにおける主な要素は以下のとおりです。

  1. 長さ: 少なくとも12〜15文字を目指しましょう。一般的に、パスワードは長いほど強力になります。
  2. 複雑さ: 文字(大文字と小文字の両方)、数字、記号を組み合わせて使用します。
  3. 予測可能性を避ける: 「123456」、「password」、「qwerty」などの簡単に推測できるパスワードは使用しないでください。 
  4. 個人情報を避ける: 誕生日、お客様のペットや愛する人の名前、記念日などは避けてください。
  5. 一意性: お客様のアカウントには、それぞれ異なる独自のパスワードを設定する必要があります。複数のサービスでパスワードを使い回すと、1つのサービスでデータ侵害が発生した場合に、ハッカーが同じパスワードで保護されている他のすべてのサービスにアクセスできるようになってしまいます。 

記憶術を使用する

残念ながら、「h9!fdjhGH68%J@」のようなパスワードは安全ですが、(人間が)覚えるのは容易ではありません。これに対処する1つの方法は、お客様にとって覚えやすいフレーズや文章を考えることです。例えば、「My first car was a Toyota in 2009!」といった具合です。

各単語の頭文字を使い、数字や記号を混ぜることで、そのフレーズをパスワードに変換できます。上記の例を適用すると、パスワードは「MfcwaTi2009!」になります。

記憶術(デバイス)を成功させるための最後のステップは、パスワードを思い浮かべやすいイメージと関連付けることです。例えば、最初の車とそれを手に入れた年を思い浮かべることで、お客様のパスワードを思い出すきっかけになります。

ランダムなパスフレーズを使用する

もう1つの選択肢は、ランダムでありながら覚えやすい単語の連なりを使用することです。例えば、「Blue Tiger Pizza Rainbow」(文字の複雑さが増すため、単語間のスペースはそのまま残します)などです。このようなランダムなパスフレーズを手動で作成するのに役立つ優れたローテクツールとしてDiceware(新しいウィンドウ)があります。あるいは、Protonのパスワード生成ツールにお任せいただくこともできます。すべてのProton Passアプリでも、強力なランダムパスフレーズを生成できます。

XKCDコミック

上記のXKCDコミック(新しいウィンドウ)で説明されているように、Diceware形式のランダムなパスフレーズは、安全でありながら簡単に記憶することができます。

記憶テクニックを取り入れる

適切に複雑なパスワードまたはパスフレーズを作成したら、それを記憶するための補助手段を使用できます。これには以下のような方法があります。

  • 反復: パスワードを初めて作成するときに、それを数回入力して、記憶に埋め込む(定着させる)ようにします。
  • 視覚化: パスワードの要素を物語や絵として想像します。「Blue Tiger Pizza Rainbow」の場合、虹の下でピザを食べている青いトラを視覚的にイメージするとよいでしょう。
  • 定期的な使用: 自動入力に頼るのではなく、パスワードを使用して定期的にサイトにログインします。頻繁に使用することで、記憶を強化することができます。

本当の解決策:優れたパスワードマネージャーを使用する

これでお客様は、自分で覚えられる強力なパスワードを作成できるようになったはずです。しかし、利用するすべてのサービスごとに異なる強力なパスワードが必要になります。実際、ツールに頼ることなく、人間がこれを行うことはほぼ不可能です。

Proton Passなどのパスワードマネージャーは、制限なく安全なパスワード(またはパスフレーズ)をお客様に代わって生成し、記憶できるアプリです。そのほとんどはマルチプラットフォームに対応しており、すべてのデバイス間でパスワードを自動的に同期できるため、どこにいても、どのデバイスを使用していても、簡単にアクセスできます。

The Proton Pass app can generate secure passwords and passphrases

パスワードマネージャーを使用すると、お客様は他のすべてのパスワードにアクセスするために使用する、1つのマスターパスワードを作成して記憶するだけで済みます。また、記憶する必要があるのはシングルパスワード(1つのパスワード)だけなので、上述のテクニックを使用して、非常に強力なパスワードを作成できるはずです。

Proton Passを試す

Proton Passは、世界で最も信頼されている安全なメールサービスであるProton Mailの開発チームが提供する、無料でオープンソースのパスワードマネージャーです。Proton Passを使用すると、お客様のパスワードは常にエンドツーエンド暗号化されるため、弊社であってもアクセスすることはできません。

ウェブ、Android、iPhone、およびiPad向けの弊社アプリには、以下のような独自の機能が組み合わされています。

  • ウェブサイトやモバイルアプリに簡単にサインインするための自動入力機能。
  • ユーザー名やパスワードだけでなく、エンドツーエンド暗号化されたメモクレジットカード情報にも対応しています。
  • 合された2要素認証。当社のアプリは2要素認証コードを生成して自動入力できるため、お客様のオンラインアカウントをさらに簡単に保護できます。
  • hide-my-email エイリアスにより、オンラインサービスへの登録時にお客様のユーザー情報を保護し、そこからの迷惑なメールを簡単に無効化できます。
  • 安全なパスワード共有。ログイン情報、支払いの詳細、メモを分類し、ご家族、ご友人、同僚と安全に共有できます。

最終的な考察

強力なパスワードは、サイバーセキュリティの基本となる要素です。不正アクセスに対する第一の防衛線として機能し、機密性の高い個人データ、財務データ、業務データを保護します。

サイバー脅威がますます巧妙化する中、さまざまなアカウントで強力かつ一意のパスワードを使用することの重要性は、どれほど強調してもしすぎることはありません。

しかし、複数のウェブサービスで強力なパスワードを使用する唯一の方法は、安全なパスワードマネージャー(Proton Passなど)を使用することです。これにより、1つの強力なパスワードまたはパスフレーズを作成して覚えるだけで、デジタルライフを安全に保護することができます。あとはパスワードマネージャーにお任せください。