パスワードに関するあれこれ

家とWebサービスの違い

突然ですが、あなたが家に入るためには何が必要でしょうか？
玄関ドアの鍵が必要ですよね。シリンダーの鍵や、電子鍵、あるいはコード入力が必要な場合もあります。
逆に言えば、これらの鍵を持っていれば、誰でも入れるということになります。そのため、鍵をどこかに忘れたりしないように、皆さんは大事に鍵を管理されていますよね。

ではwebサービスにログインするためには何が必要でしょうか？
ご存じの通り、基本的にはIDとパスワードが必要です。IDはアプリ側で採番されるものもあれば、登録したメールアドレスが使われることもあります。メールアドレスの場合、様々なサービスで使用されるため、すでに別の誰かに知れ渡っている可能性があります。だから、パスワードを他の誰にも見つからないように管理する必要があります。
つまり、webの世界においては、パスワードを盗まれてしまうと、誰でもあなたになりすましてログインということになります。しかも世界中の誰もがログインできてしまいます。

家の場合は、その家のある場所まで人が来ないといけないですが、webサービスはインターネットに繋がっている人であれば誰でもアクセスできてしまいます。そのため、莫大な被害が発生しがちです。

パスワードの管理方法

①どんなパスワードを設定すれば良いの？

推測しにくいパスワードを設定する必要があります。記号や数字、大文字小文字など様々な要素を加えることで、推測しづらくなります。
「1234567890」「password」などは誰もが推測しやすく、「kg7f*ga?ga93」などは推測しづらくなります。

②定期的にパスワードを変えた方が良いの？

今使用しているパスワードは既に外部に漏洩している可能性は否定できません。そのため、定期的にパスワードを変更する行為自体は、漏洩対策として有効な手段だと言えます。一方、定期的にパスワードを変えることで変更後のパスワードを覚える必要が出てきます。覚えるのがめんどくさいといって、ブラウザにパスワードを保存したり、忘れないように付箋に書いておいたりして、別の漏洩リスクが高まることもあります。
こうした副次的に発生しうるリスクも考えた上で、定期的にパスワードを変更することをおすすめします。

③二段階認証は使った方が良いの？

2段階認証とは、パスワードの脆弱性を強化するための手段の一つです。
IPとパスワード以外に、一時的なコードをあらかじめ登録したメールアドレスやSMS、アプリに通知し、そのコードの入力を求めることで、パスワードが漏れただけではログインできないように、複数レイヤーによるセキュリティを担保しています。

パスワードが漏洩すると結局どうなるの？

場合によっては莫大な被害を被る可能性があります。
例えば海外の事例で、南アフリカではパスワードに「password」を設定して2400万人の顧客データが流出、1500万ドルの身代金を要求される事件が起こりました。このように、一つのアカウントがのハッキングがきっかけで、数十億円規模の事件に発展する場合もあります。