「3単語パスワード」以外で作る安全なパスワードは?
法執行機関から守りたいにせよ、犯罪者から守りたいにせよ、結局「最も安全なパスワードの作り方は何か」という疑問に行き着く。
正直にいえば、「3単語パスワード」のアプローチが完全に間違っているわけではない。単語数を4つ、5つと増やせば、理論上、解読に要する時間と難易度はさらに上がる。ただし、そのぶん覚えにくくなる。ここで「パスフレーズ」を使う選択肢が登場する。無作為な単語をただ並べるのではなく、ある程度の意味を持つ長めのフレーズを作ることで記憶しやすくしつつ、安易すぎないものにするのだ。近年のパスワードマネージャーの多くは、このパスフレーズを自動生成する機能を備えている。
もっと言えば、パスワードマネージャーを利用しているなら(実際そうすべきだ)、記憶しやすさを重視する必要自体がない。はじめから極端に長く、ランダムかつ複雑なパスワードを使えばいい。覚えるのはパスワードマネージャーの仕事であり、ユーザーが覚える必要はない。さらに優れた手段として、パスキーが挙げられる。パスワードマネージャーの多くはパスキーにも対応しており、一般的なパスワードよりはるかに安全だ。
ワールドパスワードデー直前のアドバイス、そして日々の対策
毎年第一木曜日はワールドパスワードデーだ(2025年は5月1日)。セキュリティ専門家たちはこの機会に、できるだけ多くの人に最良のパスワード対策を広めようとしている。筆者自身はこうした「何々の日」的な行事が好きというわけではないが、人々の安全を高めるきっかけになるなら有益だろう。そこで、彼らが挙げている主なアドバイスを紹介する。
まず、Fasthosts(ファストホスツ)のセキュリティチームは「強力なパスワードの使用を最優先すべき」としているが、それはすでに述べたため、他のアドバイスを見てみよう。
二要素認証(2FA)、多要素認証(MFA)の有効化
これは厳密にはパスワードそのものではなく、パスワードを超えた追加の検証手段を使用する追加層として考えてほしい。その検証は、専用アプリやハードウェアキーによって作成されるワンタイムコード(比較的安全性の低いSMSテキストメッセージで送信されるよりも望ましい)、あるいはログインしようとしているサービスからスマートフォンへのプッシュ通知も可能だ。
パスワードマネージャーの使用
強力なパスワードを生成して保存し、必要に応じて自動入力できるため、ユーザーの手間を極力減らす最良の手段だ。先述のように、覚える必要がないほど複雑かつ長いパスワードを自在に扱えるという意味でも有用である。
パスキーの導入
マスターカードの広報担当は「支払い用パスキーを設定し、パスワードを覚える煩わしさから解放されよう」と助言している。パスワードマネージャーと同様、セキュリティを強化しながら使い勝手を損なわない手段であり、「パスキーは端末の生体認証を使ってログインするため、デフォルトで強固な上にフィッシングやソーシャルエンジニアリングへの耐性が高く、簡単に導入・利用できる」という。あとはあなた自身に、なぜまだパスワードをパスキーに置き換えていないのかと問いかけるだけだ。
