私のパスワード管理方法
ネットのサービスは便利ですが、沢山のサービスを使っているとパスワード管理が悩ましいです。
よく聞くパスワード管理のセオリーに「同じパスワードを使わない」「パスワードは定期的に変更する」「パスワードを紙などに記録しない」などがあります。それぞれセオリーの理由はごもっともなのですが、何十もあるパスワードをこの方法で管理するのは不可能です。
とは言え、アカウントを乗っ取られて情報漏洩する事故を頻繁に耳にします。特に最近はネットサービスのアカウント名をメールアドレスにしているケースが多いです。もし全てのネットサービスでパスワードを共通にしていたら、アカウント名が共通なので一気に全てのアカウントを乗っ取られてしまう事になりかねません。
そこで今回は私なりのパスワード管理方法をお伝えします。これは私なりの現実的な解決策になります。
①パスワード記録方法
何十ものアカウントとパスワードを記録せずに管理するのは不可能です。とは言え、記録方法には2点の注意が必要です。一つは他人に読まれることがないこと。もう一つは記録したものを紛失しないことです。
私はパスワード暗号化したExcelファイル
にパスワード一覧を記述して、Windows8.1パソコン内のOneDriveドライブフォルダに置いてます。
パソコン内のOneDriveフォルダは自動的にクラウド上にも同期されます。つまりパソコンが壊れてもクラウド側にデータが残りますし、クラウド側に問題が出てもパソコン内のファイルを見る事ができます。
②レベル分け
管理する上で、ネットサービスの重要度でレベル分けをしています。レベルは次のように分けます。
A ネット銀行などの金融系サービス
B クレジットカード情報を登録したショッピングサイト
C 個人情報を登録しているような、常時利用のSNS系サイト
D お試し的に使っているサイト
レベル分けを行う理由は、下のレベルで使っているパスワードを上のレベルで使わないようにする為です。下のレベルのサイトは管理が甘く情報漏洩の危険性が高くなります。大事なサイトの情報も守る為に、下のレベルと同じパスワードを使わないように管理します。
③メールは2段階認証
サイト登録にメールアドレスは必須項目になっています。このメールアドレスを使えばパスワードのリセットまで出来る場合もあります。つまりメールアドレスを乗っとれば一気に全てのネットサービスの乗っ取りも可能になります。
登録するメールアドレスは非常に重要ですので2段階認証でしっかり守っています。例えばGMAILやhotmailなどの主要なフリーメールなら設定変更で2段階(パスワードと利用機器登録)で認証するように変えれます。利用機器の変更時だけ機器登録が必要ですが、通常の利用方法に変更はありません。
④ログイン窓口を決めておく
よくある乗っ取り手法として、本物に似せたログインサイトに誘導して、そこにパスワードを入力させる事によりパスワードを抜き取る方法があります。このような偽サイト対策として、ログインするサイトは予めブラウザのお気に入りに登録しておき、その「お気に入り」からしかログインしないようにしてます。
よくtwitterやFacebookなどのメジャーなSNSアカウントと連携して認証出来るようなネットサービスがあります。
アカウントを統一出来るという意味で管理が楽にはなりますが、偽サイト用の対策としては甘くなるので、私はSNSアカウントで別サイトを利用する事は行わないようにしてます。
⑤定期的に見直す
パスワード一覧表を定期的に見直すようにしてます。特にサービスへの依存度が上がってレベル上がる事がありますので、それに合わせてパスワードも見直しています。
今回はこのブログを書きながら各サービスのレベルやパスワードを見直しました。
ネットサービスは非常に便利です。ただ便利がゆえにあっという間に情報や資産が乗っ取られてしまうリスクもあります。守る為の対策が悩みどころです。今回書いた対策は恒久的に完全な方法とまでは言えません。私自身も今後の状況を見て対策方法を変えていくつもりです。ただ今回の方法が、みなさんにとっての最適な方法を見つけるのに役立てば幸いです。