今回はセキュリティ対策の基本である「パスワード」について記事にしたいと思います。本職では管理部でIT担当をしている身として日々指導している内容になります。業務はもちろんですが、個人用のパスワード作成にも活用出来ますので、参考程度にお読みください。
IT担当者としては個人利用のパスワード管理のほうが重要です。業務よりもまずはご自身を守ってください
パスワードを作成する場合の注意点
パスワードを作る際ほとんどの人は「同じ覚えやすい定番のパスワード」を作成しがちです。これはかなり危険なので絶対にやっちゃいけないことです。結論から言うと下記のように指導をしています。これが最も安心できるパスワードです。
- 生年月日などの個人情報を使わない
- 大文字小文字英数字を組み合わせた8桁以上
- 関連性のないランダムな配列
何故これが一般化したかと言うと悪意のある第三者が悪さをする際に必ずパスワードで試すのが「生年月日を含む文字列の攻撃」です。必然的に狙われてしまうのが生年月日を含む「個人情報に関連する数字」になります。ですのでここは「攻撃者の立場に立って安全=ランダムな数字とアルファベット」の組合せを考慮しましょう。
パスワードを定期的に変更する意味はない
Microsoftのガイドラインで更新された記事によると、「パスワードを定期的に変えることが第三者の攻撃に対応する有効手段とは言い難い」と記載がありました。今までは定期的な変更を提唱していたのにそれをあっさり否定する内容で驚愕しました。根拠は下記になります。
- 認証方法を複数設ける
- 不正アクセスを瞬断するデータ領域を用意する
- 特定者のアクセス制限を実施する
パスワード単体だけではなく、「多段階・多要素認証」を追加してより確実に本人性を確認します。これはパスワードが漏洩した場合でも別の認証が出来ない場合はアクセスが出来ないことを意味します。またアクセス自体の制限を実施しることによって不正アクセスを事前に防ぐことも可能です。現在ほとんどのネットサービス(Saas)で実施されているので以前と比べて安全になったとも言えます。
パスワードは「自動生成サイト」を活用する
パスワードをランダム英数字の組合せを考えるのが面倒な場合は「パスワード自動生成」サイトがおすすめです。完全にランダムなパスワードを設定に合わせて一瞬に作成してくれます。これらが漏洩することは考えにくいですが、心配な場合はブラウザの履歴削除などしておけばほぼ問題ないかと思います。
Googleなどで「パスワード自動生成」で検索するといっぱい出てきます。
パスワードの保管は厳重に
多段階認証があるとは言えパスワードの保管は慎重に対応すべきです。付箋に書いてPCに貼るという行動は絶対にやってはいけません。紙媒体で記帳する際には「書き間違い」を防止するのが必須。それらを防止する専用の手帳を用意すれば書き間違いはもちろん、自分の利用しているサイトの整理が出来て非常に便利です。紛失注意ですが。
二要素認証と二段階認証の違い
二要素認証とは「2つの要素を組み合わせた認証方法」であり、二段階認証は「同じ要素を2段階実施する認証方法」になります。「要素」については主に3つ定義があり、その3つのうち2つを組み合わせた認証方式と言えます。その3つの要素は下記になります。
- 知識:パスワード、合言葉、Q&Aなど
- 所有:ワンタイムパスコード、鍵、カードなど
- 生体:指紋、顔認証など
二段階認証は「パスワード+Q&A」などで、二要素認証は「パスワードとカード」などの組合せで実施するイメージになります。両方とも「パスワードだけではない本人性の確認」を実施しより強固にセキュリティの確保が出来ると言えます。
ワンタイムパスコードや指紋認証がトレンド
現在よく使われるのが「ワンタイムパスコード」や「指紋認証」理由としてはカードなどの物理的な用意が不要な点です。ワンタイムパスコードは所有のスマホに「オーセンチケーター」などのアプリをインストールすればメールではなくアプリ上で自動生成されたパスコードを制限時間内に入力して解除が出来ます。指紋認証は登録しておいた指紋をかざせばすぐに解除が出来るので非常に便利でなおかつ本人性の担保が強固に実現できます。
少なくとも二段階認証を施すことが重要
サイトによって利用されている認証方法は様々ですが、少なくともパスワード+αの認証が施されている状態が望ましいです。個人的には二要素認証で「指紋認証」があるのがベストだと考えますが、パスワード+Q&A(自分が作った質問と回答の組合せ)が最低限必要な条件とも考えます。実施していないサイトこそ「サイトにパスワード保存」はさせないことをおすすめします。
まとめ
今回はパスワードの生成方法と認証方法についてまとめてみました。パスワードの保管は重要事項ですが、現状クラウドスペースでSaasを利用するのであれば多段階・要素認証は必然的な事項になります。施されていないサイトについては今後信用性が低くなる可能性があると思いますのでサイトに保存させないなど運用でカバーしましょう。
以上、パスワード生成と認証方法についてでした。