現在は事情があって休止中なんですが、情報セキュリティCASというインターネット配信サイトでの情報セキュリティ啓蒙番組をやっていました。その第六十七回でパスワードの設定の仕方を解説しました。その中で言ったのが「パスワードは自分で記憶するのではなく、ソフトウェアに覚えさせろ」というものでした。
WindowsやMacだとパスワード管理アプリもありますし、特にMacでは標準機能としてキーチェーンに保存という機能があります。また、それらのアプリには複雑なパスワードを生成する機能も付いていますので、それらの機能を使って複雑なパスワードを自動生成させ、覚えさせる事で充分にセキュアなアカウント運用が出来るよねって言う話をしています。
そして、ここには重要な機能がある事がわかっています。
パスワード管理機能を使って覚えさせると「正しいドメイン」の時はアカウント名やパスワードの所に自動的にそれらをセットする事が可能なのですが、「正しくないドメイン」だと自動でセットされないのです。
もうお判りですね?
アカウント情報が自動でセットされないサイトは「偽サイトである」という事なのです。従って、万一、フィッシングサイトに誘導されたとしても自動的にアカウント情報がセットされないため「偽物だ」と判断する事ができ、それに従えば間違ってもアカウント情報を窃取される事はないのです。人間の目では見誤るような巧妙なドメイン名を使ったサイトであってもです。
また、クラウド経由でモバイル版と連携できるパスワード管理アプリを使えばパソコンでもモバイル端末でも同様の動きをするため、どちらであってもフィッシングサイトに引っ掛かる事はなくなります。
以前は「アカウント情報をブラウザに記憶させるな」と良く言われました。企業内の運用として、社員に対してそのように指導していた時期もありました。でも、時代は刻々と変化します。今は逆に「アカウント情報をブラウザに記憶させろ」です。複数端末を使っている場合には「パスワード管理アプリを使って記憶させろ」です。そういう時代になったんだという事を認識頂き、先の内容を実践して頂ければ幸いです。