サイトを利用しているとIDとPWの管理が大変です。
私の実体験ですが、IDとPWでログインをして利用するサイトがあります。
PW(パスワード)について、今日はお話しします。
「パスワードを定期的に変更してください」というメールや通知が届いたことはありませんか?パスワードを定期的に変更するよりも、第三者が推測しづらいパスワードを考えて安全に保管することが重要!
サイトによっては、IDとPWが必要なサイトがあります。
このようなご経験はありませんか?
あなたは、このようなご経験はありませんか?
IDとPW(パスワード)が必要なサイトを利用していると、
「パスワードを定期的に変更してください」
とメールや通知がくることはありませんか?
利用サイトにログインすると、画面に、
「しばらくパスワードを変更されておりません。安全にご使用いただくために、パスワードを変更するようにしてください」
という通知が届いて、
そんなに、画面全体に表示しなくてもいいのに。
と感じこともあれば、メールで、
「安全にご使用いただくために定期的にパスワードを変更してください」
という内容のメールが届くことがしばしばです。
総務省は、「定期的な変更は不要」としています
定期的な変更は不要。
総務省の公式サイトの中にこのような記述があります。
『総務省 安心してインターネットを使うために国民のための情報セキュリティサイト』
というサイトを総務省が立ちあげています。
トップページより、
「基礎知識」 → 「インターネットの安全な歩き方」 → 「IDとパスワード」 → 「設定と管理のあり方」
と進んでいただくと、次のように記されています。
以下引用
なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。
引用 : 総務省 安心してインターネットを使うために国民のための情報セキュリティサイト 基礎知識 設定と管理のあり方
パスワードについて
パスワードについて。
パスワードというのは、大きく分けて、3通りあります
パスワードというのは、大きく分けて、3通りです。
- アルファベット小文字のみ(26文字種類)
- アルファベット大文字と小文字使用(62文字種類)
- アルファベット大文字と小文字使用+記号(96文字種類)
パスワードの文字数設定が8文字ほどの短い設定の場合もあるようですが、パスワードは、アルファベット大文字と小文字+記号の文字列で長い文字数ほど解読されにくいので、できる限り長い文字数が理想です。
ただ、長すぎると、入力する際に、誤って入力する可能性が高くなり、ログインするまでに時間がかかるので、14~36文字ぐらいが理想だと思います。
もし、アルファベットの小文字のみで文字数が6文字、8文字の銀行やショッピングサイトがあるなら、一度、先程ご紹介したページなどを見ていただくと、危険性がわかるとおもいます。
パスワードを定期的に変更するのではなく、パスワードを設定するときに、第三者に推測されにくいパスワードを考えることと、保管することをセットで検討が重要
パスワードを定期的に変更するのではなく、パスワードを設定するときに、第三者が推測しずらい(されにくい)パスワードを考えることと、パスワードを保管することはセットで検討することが重要です。
定期的変更の必要がないからといって安心してはいけません。
第三者に悪用されないためにも、他人が推測しづらいパスワードを自らで考えて、より安全にインターネットを使用できるようにすることが重要です。
先程、3種類のパスワードをご説明しましたが、アルファベット小文字のみしか使用できないパスワードよりも、アルファベット大文字と小文字+記号の方が複雑なパスワードを設定できます。
サイトによって、パスワードに使用できる文字や記号は異なりますし、文字数も異なります。
私がおすすめなのは、アルファベット大文字と小文字+記号のケースで、14~36文字ぐらいが理想です。これ以上になると、記憶しづらいし、入力する時に大変です。
他人が推測しづらいパスワードを考えるのは至難の業です。私も、パスワードを考えるのに、悩んで悩みまくっている一人です。最高のパスワードが完成しても、どのように保管するのか、記憶するのかで、せっかく考えた最高のパスワードは、第三者に悪用されてしまう可能性があるのです。
パスワードの文字数MAX
パスワードの文字数MAX。
推測しづらいという点だけを考えれば、パスワードの文字数の限界(MAX)まで利用される方が断然推測しづらいです。
ですから、第三者が不正に利用したり、悪用されたくなければ、
アルファベット大文字と小文字+記号
を利用して、第三者が推測しづらい複雑なパスワードを構築しましょう。
文字数を多く稼ぎたいからといって、同じ文字の羅列や、続き番号の羅列などをして、文字数を稼いだパスワードなんて、何の意味もないです。文字数MAXを最大限活用して、強固なパスワードを作るには、他人に推測されないようなパスワードを真剣に考える必要があります。ここが大事です。
パスワードはどこに保管してるの?
パスワードはどこに保管してるの?
「あなたは、パスワードをどこに保管していますか?」
私は、パソコンの中に保管しておくことができない性格なので、紙に書いたものをパーソナル金庫(自分の金庫)で保管しています。
パソコンで保管、紙で保管、頭の中で記憶
パスワードを保管する方法として以下の3通りがあります。
- パソコンで保管(Word、メモ帳などで保管)
- 紙で保管(メモして保管)
- 頭の中で記憶(覚えておく)
私は、紙で保管しています。
紙って安全なの?
紙って安全なの?
100%安全な方法はありません。
私は、けっして、紙が100%安全とは思っていません。
保管する選択肢が限られている中で、私にとっては、紙での保管があっていると思っています。
紙には紙のリスクがあります。
他の方法にもリスクは当然あるわけです。
そのリスクといかに前向きにつきあいながら、パスワードを管理するかが重要です。
相性の問題もありますので、そのあたりもお考えいただいた方が良いと思います。
パソコンで管理したり、頭の中で記憶させておくのは、どう?
パソコンで管理したり、頭の中で記憶させておくのは、どう?
パソコンで管理するには、管理の仕方によっては、そういう選択肢も考えられるのですが、頭の中の記憶に頼るというのは、やめておいたほうがいいです。
記憶できるほど、簡単なパスワードなら第三者に見破られる可能性もありますし、20文字、30文字のパスワードで、しかも、アルファベットの大文字と小文字と記号がまざっているものを頭で記憶させるには無理がありすぎです。
そんなことを記憶するくらいなら、もっとためになることを記憶した方が良いでしょう。
パソコンで管理する場合、Wordやメモ帳などで管理したり、デスクトップへ貼りつけたりする方法は危険ですのでおすすめできません。
どうしてもパソコンで管理したい場合、パスワード管理ソフトがあります。もし、パソコン上で管理されるのであれば専用ソフトを使用されるという方法もありますが、私はパソコンで管理する方法は危険だと考えているので、紙に記したものを保管しています。
セキュリティ対策の併用は必要
セキュリティ対策の併用は必要です。
サイトによっては、IDとパスワード以外のセキュリティ対策として、2段階認証、ワンタイムパスワード、合言葉認証などのセキュリティ対策が用意されている場合があります。多くのサイトでは、それらのセキュリティは無料で使用できます。
いくら、推測されないパスワードを考えても、そのパスワードが他人に見破られないという保証なんてありません。
もし、ご利用されるサイトの方でセキュリティ対策が無料で用意されているのであれば、それらと併用することで、第三者に不正にログインされたり、悪用されたりといったトラブルを防ぐことにつながります。
2段階認証やワンタイムパスワード(使い捨てパスワード)は、よくあるセキュリティ対策ですので、比較的、導入されているサイトは多く、無料で使用できる場合が多いです。
あまり、セキュリティ対策に力を入れていないサイトは、注意して利用される必要があります。
私が警備会社の金庫を導入した理由
私が警備会社の金庫を導入した理由。
火事になったとき、盗難にあうことも想定して、警備会社の金庫にしました。
私が導入した金庫は、防盗、防火性能に優れたものです。
銅板製のベースボードと金庫が一体型のようになっているので、金庫を持ちあげることができない特殊なものです。
我が家では、警備会社のホームセキュリティーを使用しているので、金庫については、たぶん安全だと考えています。
防水性ではないので、中身は、チャック付き袋(ジップロックなど)に入れておけば、万が一、金庫が水没したとしても安心です。
パスワードというのは、パスワードを考えることだけでなく、パスワードを保管することまでを考えることが重要です
パスワードというのは、パスワードを考えることだけでなく、パスワードを保管することまでを考えることが重要です。
私は、パスワードを定期的に変更するというメールや通知は、重要なものだと思っていないので、これまでずっと無視していました。
無視したからといって、悪用された経験はありません。
パスワードを定期的に変更することを考えるよりも、いかに、第三者に不正利用されないようなパスワードをつくって、そのパスワードを安全に保管することを考えた方が良いのではないでしょうか。
どのような方法も100%安全という方法は存在しません。ですから、二重、三重のセキュリティ対策を心掛ける必要があるのです。
余談
余談です。
今日は、パスワードのことだけお話ししましたが、パスワードうんぬんの前に、インターネットを使用される際には、パソコンのセキュリティソフトの導入は必要です。
意外に、パソコンやスマホを利用されている方で、セキュリティソフトを導入されていない方がいらっしゃいますが、大変危険ですので、セキュリティソフトの導入をおすすめします。
セキュリティソフトには、有料と無料の2種類がありますが、有料のソフトをおすすめします。
理由は、有料と無料のソフトを比較していただけるとおわかりいただけると思うのですが、サポート面での違いがあります。
有料ソフトは、サポート面が充実しているソフトが多いです。
無料ソフトは、自己責任で使用する必要があります。
その違いは大きいです。
以前、銀行のセキュリティ対策についての記事を書きました。
