こんにちは、ジロー(@yuruikujiblog)です。
様々な情報が飛び交う昨今、インターネットに触れない日はないといっても過言ではありません。そして、インターネットを便利に使おうと思うと、本当に多くのウェブサービスに登録する必要があります。その度に新しいパスワードを考えなければなりません。
ところで、パスワードを色々なサイトで使い回したりはしていませんか? パスワードを使い回すのは、実はとても危険なことなのです。パスワードを使いまわすことであなたの知らないところで、知らない人がショッピングサイトから勝手に商品を購入したりされてしまうかもしれません。
でも、その都度パスワードを作るなんて無理があるわ……
大丈夫!ある法則を作ってしまえば、パスワードを絶対に忘れることがなくなるよ!
私は、2021年12月現在、139のパスワードをある法則を持ってほぼ記憶しています。
この記事では、パスワードを使い回す危険性と、パスワードの使いまわしを防ぐためのとっておきの方法を伝授いたします。
- パスワードを使いまわしてしまっている方
- パスワードを覚えられない方
- 管理ツールを使いたくない方
- パスワードの使いまわしの危険性がわかる!
- パスワードを規則的に作れます!
- そして忘れることはありません!
本記事の重要度と難易度は以下のとおりです。
- 重要度低い12345高い
- 難易度難しい12345簡単
超危険! パスワード使い回すのはNG!
どうしてパスワードの使いまわしはダメなの?
ひとことで言うと「乗っ取られた際に被害が拡大するから」です。
情報が漏えいするしくみと、漏えいしたらどうなるのかを図解します。
情報漏えいのしくみ
上記は一例です。
皆さんのもとにも届きませんか? そう、迷惑メールというやつです。迷惑メールには大きくわけて5つあります。
今回、パスワードの使いまわしがNGだと取り上げるのは、5番目の「フィッシング詐欺メール」になります。
たとえばこんなメールです。
●●銀行からのお知らせ
いつも●●銀行をご利用いただきありがとうございます。この度●●銀行ホームページのセキュリティアップデートにともない、オンラインでのご本人確認が必要となります。下記リンクからID・パスワードを入力してログインしてください。
【重要】ご不在のお知らせ
××運輸よりお荷物のお届けにあがりましたが、ご不在のため持ち帰りました。再配達のお手続きを以下のURLからお済ませください。商品保管期限は▲月▲日です。
このような文面のあとにURLらしき文字列が配置されています。それをクリックすると、本物そっくりの偽サイトへ飛ばされます。
ウェブの知識が多少あれば、偽サイトくらい簡単に作れちゃうのです。
偽サイトと気が付かずにID・パスワードを入力してログインしてしまうと、詐欺業者があなたのIDとパスワードを入手してしまうのです。これがフィッシング詐欺の手口です。
使い回すとどうなるか
詐欺業者があなたのID・パスワードを知ってしまったらどうなるでしょうか?
パスワードを使いまわしてしまうと、同じパスワードで登録しているさまざまなサイトへログインされてしまいます。その中にショッピングサイトなどがあれば大量の購入をされてしまうでしょうし、さらにクレジットカードの情報も抜き取られてしまうかもしれません。非常に危険な状況です。
少しでも違うパスワードにしておけば、他のサイトへのログインは防ぐことが可能です。被害を最小限に抑えることが可能となります。
2021年6月15日、IBM Securityが下記のような調査結果を発表しました。
パンデミック期間中、個人は平均15個の新規アカウントを作成し、82%がアカウント間でパスワードを再利用していた。
実に8割以上の人が、セキュリティよりも利便性を優先してしまっている結果となっています。これは由々しき事態です。
身に覚えがあれば、今すぐにでも変更しましょう。
そんなことを言っても、たくさんのパスワード管理しきれないよー
大丈夫! そんな皆さんのために、とっておきの方法を考えました!
使い回さない方法を考えてみた
まずは先程も出てきましたこの画像をご覧ください。
ここで大事なのはパスワードが同一であってはならないということでしたね。逆にいうと、パスワードが少しでも違っていれば大丈夫ということです。
ここの部分を頭に入れて進んでください。
まずメインパスワードを決める
まずはパスワードの基本となる「メインパスワード」を決めてしまいます。ここは絶対に忘れない、生活に紐付いたものにしたいです。
ほとんどのウェブサービスで「数字+アルファベット」の組み合わせを求められるので、それに則って作成しましょう。
上記の例では室町幕府が滅亡したのが1573年であることから「1573muromachi」としました。余談ですが「以後、涙(1573)する室町幕府滅亡」と覚えましょう。超余談ですが、室町幕府成立は「いざ都(1338)入りする足利尊氏」でどうぞ。
オススメは誕生日や結婚記念日など生活に紐付いたものがいいですね。
あとはWebサービスに応じて付属させる
メインパスワードに、ウェブサービスに応じて、そのサービス名の省略形をくっつけるのです。
このときの注意点は、わかりやすく省略するということです。法則・ルールを作ると言ったほうが正しいかもしれません。
| ウェブサービス名 | 語尾につける文字列 |
|---|---|
| amazon | ama・az |
| goo・gg | |
| Yahoo! | yah・yh |
| マクドナルド | mac・mc |
などです。前者は「アルファベット前から3文字」、後者は「サービス名を2文字で省略」です。これを語尾につけるようにします。
例えば上の例では「1573muromachi」ですから、下記のように作ることができます。
| ウェブサービス名 | アルファベット前から3文字 | サービス名を2文字で省略 |
|---|---|---|
| amazon | 1573muromachiama | 1573muromachiaz |
| 1573muromachigoo | 1573muromachigg | |
| Yahoo! | 1573muromachiyah | 1573muromachiyh |
| マクドナルド | 1573muromachimac | 1573muromachimc |
これによって、必ず違うパスワードが生成され、使い回すことはなくなります。考え方、仕組みを構築するのです。
簡単でしょ? これですべてのサービスに流用できます。ぜひ試してみてください!
ありがちな「縛り」回避法
ここでは、ウェブサービスによってよくある「縛り」「制約」について、その回避法を考えます。
ウェブサービスによってはパスワードを決める際にルールを設けているところがあります。それが、上記の方法では決められない場合があります。そういうときにどう乗り切るかを考えました。
何文字以上何文字以下
サイトによっては、パスワードの文字数に制限をしてくるところがあります。
何文字以上については、上記の方法を用いれば大体の場合クリアできるはずです。メインパスワードを「1573muromachi」としたならば、その時点で13文字。そこに2文字以上をくっつけることができれば、15文字以上にはなります。
問題は何文字以下について。これはメインパスワードを削るしかないです。
例としては、
などが考えられます。
注意点としては、削り方についても必ずこうしておく、という仕組みを作ってしまったほうが忘れにくい、ということです。
パスワードの文字数についてですが「何文字以上にしてくれ」はわかります。パスワードは文字列なので、長ければ長いほどそのパスワードは強固になるからです。しかし、「何文字以下」はマジでクソ。早くなくなってほしいです。
大文字小文字記号を入れて
パスワードに大文字や小文字そして記号を入れて作成しろ、という場合もあります。メインパスワードで小文字はクリアしているので、あと大文字と記号をクリアしなければなりません。
単純ですがアルファベット部分の最初の文字を大文字にするという手段があります。今回の例であれば「1573Muromachi」となりますね。
そして記号ですが、ハイフン「-」やアンダースコア「_」をおすすめします。この記号を数字とアルファベットの間に入れることにより、要件を満たすことができます。具体的には「1573-Muromachi」などとなります。
ここで考えるのが
そんなややこしいことしなくても、最初から大文字記号を入れたパスワードで設定してしまえばいいんじゃないの?
ということです。
しかし、私が知る限りでは「記号を入れなければならないパスワード」よりも「記号を入れることができないパスワード」の方が圧倒的に多く感じます。
ですので、記号を入れないパスワードをデフォルトとし、記号を入れるパスワードをオプション扱いにしたほうが運用しやすいです。
ウェブサービス側からするとパスワードを複雑にすることによって、パスワードを強固にしているつもりなのでしょうが、大文字小文字記号を入れるよも、単純に文字数を増やした方が突破されにくいという研究データが出ています。これについても企業側には改善をして欲しいなと考えます。
パスワードを忘れてしまったら
万が一パスワードを忘れてしまっても、ウェブサービスには必ず再発行ができるようになっています。ウェブサービス側からしても、パスワード忘れによって顧客を損失するのも痛いですからね。
再発行の手順は、そのサービスによっても異なりますが、だいたいは以下のような感じです。
これだけです。パスワードを忘れてしまったとしても、再発行のハードルが低いので、困ることは少ないです。
よく使われるパスワード20選(全世界版 / 日本版)
2021年11月19日、パスワード管理ソフトを運営するNordPassが、世界中でよく使われるパスワードを調査した結果を「Top 200 most common passwords」として公開しました。
全世界版と日本版を抽出して掲載いたします。
| 順位 | 全世界 | 日本 |
|---|---|---|
| 1 | 123456 | password |
| 2 | 123456789 | 123456 |
| 3 | 12345 | 123456789 |
| 4 | qwerty | 12345678 |
| 5 | password | 1qaz2wsx |
| 6 | 12345678 | member |
| 7 | 111111 | asdfghjk |
| 8 | 123123 | 12345 |
| 9 | 1234567890 | password1 |
| 10 | 1234567 | 1234567890 |
| 11 | qwerty123 | asdfghjkl |
| 12 | 0 | asdf1234 |
| 13 | 1q2w3e | qwertyuiop |
| 14 | aa12345678 | qwerty |
| 15 | abc123 | sakura |
| 16 | password1 | 1q2w3e4r |
| 17 | 1234 | qwer1234 |
| 18 | qwertyuiop | abcd1234 |
| 19 | 123321 | zaq12wsx |
| 20 | password123 | qwertyui |
どれもとっても単純なパスワードですね。一見無意味そうに見える文字列も、パソコンのキーボード配列からくるものも多いです。よく使われるということは、ハッカーたちに狙われやすいという危険性をはらんでいます。
これらのパスワードを使っている方は、危険ですので一刻も早く変更してください!
パスワードについてよくある質問
最後に、私が感じて調べた&ママ友からよく聞かれる、パスワードにまつわるよくある疑問・質問について書き記しておきます。
パスワードは定期的に変更したほうがいいの?
パスワードを定期的に変更することよりも、複数のサイトで使いまわす方が圧倒的に危険です。
ウェブサービスによっては定期的に変更を持ちかけられるサイトもありますが、絶対に変更しなければサービスが使えないという場合を除いては、変更しなくてもいいと私は考えます。
秘密の質問ってどうなの?
秘密の質問とは、「卒業した小学校は?」とか「母親の旧姓は?」とか「初めて行った海外旅行は?」などという、一見自分にしか答えがわからないような質問を答えさせることで、セキュリティをあげているとされているものです。
しかし、よく考えてみてください。「小学校からの知人」なんていう人がいた場合、卒業した小学校はその人にはバレバレです。もし「メールアドレス」&「秘密の質問」でサイトを突破されてしまうなんてことになれば大問題です。
秘密の質問はセキュリティが低い、ということは既に周知の事実になっているにもかかわらず、未だに使われるケースが後を絶ちません。そして、あろうことか銀行などの金融機関に多いように感じます。
その昔、某ビジネスホテルの予約サイトで、ウェブ上で予約確認ができるのですが、その確認方法が「メールアドレス」と「生年月日」を入力する、というものでした。
とある職場で、会社のメールアドレスを使ってそのビジネスホテルに予約を取ったAさんがいました。同じ部署のBさんは、 Aさんの生年月日を知っていました。これだけで、そのビジネスホテルのAさんの予約状況が丸見えになったというケースが実際にありました。BさんがAさんに対して悪意を持っていたとすれば、黙って予約を取り消すことも簡単ですよね。
それぐらい秘密の質問というのは怖いものです。
正直に答えるぐらいであれば、全部の質問に対して「ラーメン」と回答しておいたほうがセキュリティ的に高いかもしれません。
本当はパスワード管理アプリが安心安全
ここまでパスワードに関してのあれこれをお伝えしてきましたが、ここで思いっきりちゃぶ台をひっくり返すようなことを言います。
ただ、周りのママ友と話をしていると、
パスワード管理アプリの使い方が全くわからないのよー
と嘆く声が後を絶ちません。これについては、後日ハードルを下げたパスワード管理アプリの導入方法を記事としてアップしたいと思います。今しばらくお待ちください。
まとめ
今回はパスワードを使い回す危険性と、その管理術をご紹介しました。
- パスワードを使い回すと超危険!
- 「メインパスワード」と「サービスに関連する付属」で覚える!
- パスワードを忘れても焦らず再発行!
近年ウェブサービスは急激に増えています。そして、その都度パスワードを作成しなければなりません。そのすべてを覚えておくことは、もはや不可能といえる状況です。
ならば、こちらも仕組みで対抗する他ありません。
本来であればパスワード管理アプリをオススメしたいのですが、その前段階として、使い回しを防ぐための考え方をご紹介しました。
本当に大事なことなので、パスワードを使い回している方は早急に変更してくださいね! 自分の身は自分で守りましょう!
最後までお読みいただきありがとうございました。
ジロー(@yuruikujiblog)でした。それでは、また次の記事でお目にかかりましょう!
このブログでは、育児に役立つ情報を
の4つの観点からお伝えしていきます。
「ゆるく乗り切る子育てライフハック」をテーマに、日々の新しい発見を我が家なりの方法に落とし込んで、工夫として日々発信していきます。ぜひ、ブックマークやSNSをフォローしてください。
このブログが育児に悩む皆さまの一助となれば幸いです。
コメント
とても参考になりました。パスワードが多すぎて本当に困ります。
サイトによってパスワードのルールが違うのもイライラします。全部統一にしてほしいといつも思ってます。
しかもパスワード作ったときはこのサイトは大文字入れなきゃいけないのか、とか@とか文字を入れなきゃいけないとかはわかりますけど、
実際にログインしようとしたときに、ルール覚えてないから困ります。しかもネット銀行とか年金系のやつは3回くらい間違えるも無効化されて再発行に時間かかったりとかするし。
このパスワード社会なんとかならないですかね(泣)
パスワード管理アプリの記事、楽しみにしてます!
とかしきさん
ウェブサービスを利用するにあたっては、パスワードが必須になるので、どんどん増えていきますよね。本当に困ります。
私も大昔はすべて同じパスワードにしていました。これじゃマズい!と気がついて、頭をひねった結果、この記事のような方法に至りました。
少しでもご参考になれば幸いです。コメント、ありがとうございました!