パスワードは、オンラインアカウントにとって鍵の役割を果たします。アカウント所有者だけが知る安全性の高いパスワードは、メールやソーシャルメディアのアカウント、オンラインバンキングの口座などを、利用する本人だけがアクセスできるようにします。一方で危険なパスワードは、アカウントへの不正アクセスを防止する機能が十分でなく、結果としてアカウント所有者が、個人情報窃盗などの、深刻なセキュリティリスクにさらされる恐れがあります。残念なことに、推測や解読されやすいパスワードを、何度も使い回している人は少なくないのです。

Googleの研究者が最近行った調査では、 セキュリティ研究者たちが推奨する、最も一般的なアドバイスや実践方法を明らかにしています。当然のことながら、これらの中にはパスワードに関するものが含まれていました。この調査から、パスワード作成に関してセキュリティエキスパートが望ましいと考える方法と、一般ユーザの実際の方法には隔たりのあることが明らかになっています。ここで、アカウントの安全性を保つためのパスワードの使い方について、セキュリティエキスパートによる役立つアドバイスを3つ紹介しましょう。

1. 強力なパスワードよりも、固有のパスワードのほうが重要である

専門家が勧める方法の1つは、強力で固有のパスワードを設定することです。このアドバイスを聞いたことのある人は大勢いるでしょうが、実践している人はごくわずかです。もしも、こちらの記事が紹介しているコンピュータサイエンスを研究する教授のドレスに、あなたのパスワードが載っていた場合、あなたのパスワードはアカウントを安全に守れていないことになります。

主要なオンラインサービスプロバイダの多くは、自動的に、パスワードの文字数や文字の組み合わせなど、一定のガイドラインに従ってパスワードを設定させる仕組みになっており、パスワードの強度についてフィードバックも行っています。しかし、エフセキュア セキュリティ・アドバイザーのショーン・サリバンらセキュリティ研究者によると、強力なパスワードはもちろん大切ですが、固有のパスワードを設定することも、アカウントの安全性を保つ上で同じくらい重要な意味があるのです。

基本的なことですが、固有のパスワードを使用するということは、同一のパスワード、あるいは同じ言葉やフレーズを一部変更しただけのパスワードを、別の複数のアカウントで使い回さないということです。Googleの研究者はこのことを、車や会社、さらに家のあらゆるドアを1つの鍵で済ませてしまうやり方に例えています。サービスごとに固有のパスワードを設定することが重要なのは、こうしておけば、万が一アカウントが1つ侵害されてしまったとしても、オンライン上のすべてのアカウントのパスワードが知られてしまうことがないからです。

強力なパスワードとは、文字数が多く、大文字、小文字、数字、特殊記号を組み合わせたパスワードです。また、パスワードには本人しか知らない言葉やフレーズを使用することが大切であり、一般の人々になじみのあるフレーズやスローガン、あるいは本人を知っている人が容易に推測できるものは避けるべきです。しかしそれでも、これらのパスワードを解読する方法が多数存在することは、エフセキュアブログの記事『ハッキングから身を守るためにとるべき方法』からも明らかです。

アカウントごとに固有のパスワードを使い分けることによって、侵害された1つのパスワードを犯罪者やスパイに悪用され、別の複数のサービスにアクセスされる事態を防げるのです。サリバンは、オンラインバンキングや、仕事に関連したメールやソーシャルメディアのアカウント、個人的なドキュメントを保管しているクラウドストレージサービスなどの重要なアカウントに、固有の強力なパスワードを設定することが、オンラインアカウントのセキュリティを万全にするうえで不可欠だと述べています。

2.セキュリティエキスパートがパスワードマネージャーを利用するのには理由がある

ある研究によれば、標準的なインターネット利用者は、26 個のオンラインアカウントを所有しているそうです。「標準的なインターネット利用者」に該当し、それぞれのアカウントに固有のパスワードを設定しているとすると、非常に多くのパスワードを抱えることになります。安全性を重視したばかりにパスワードがわからなくなって、自分のアカウントを使えなくなる事態に陥りかねません。

専門家がパスワードマネージャーの利用を推奨するのはこのためです。パスワードマネージャーを利用すれば、それぞれのアカウントに固有の強力なパスワードを設定し、確認しやすく安全にまとめておけるため、アカウントのセキュリティ対策は万全になります。パスワードマネージャーの働きによって、本人しか知らない強力な固有のパスワードで、26 個以上ものオンラインアカウントの安全性を保ち、データを保護することが可能になるのです。Googleの調査に参加したセキュリティエキスパートの73% がパスワードマネージャーを利用しているのは、まさにこの理由からです。その一方で、一般ユーザの利用はわずか24%に過ぎませんでした。

3.セキュリティ機能をさらに活用する

そのほかにアカウントを守る優れた方法としては、可能な限り2要素認証を有効にすることが挙げられます。基本的に、2要素(多要素)認証は、2つの異なる方法を用いてアカウント所有者本人であることを確認します。例えば、アカウントの保護にパスワードを利用するだけでなく、バックアップとしてユーザに電話番号も登録してもらい、アカウント上でパスワードのリセットなどが行われた際には、電話で本人確認を行う方法などです。

2要素認証が利用できるサービスはまだ限られていますが、このオプションが提供されている場合には利用することをセキュリティエキスパートは推奨しています。2要素認証を利用する人気のサービスや、ここで取り上げた以外の、オンラインアカウントを安全に保つ効果的なパスワード利用法については、こちらをご覧ください。