世の中は徐々にパスワードレスの方向へ進みつつありますが、とは言え、現状は認証の為にパスワードを使っているのが実情です。しかも、「十分複雑なパスワード」を求められ、リスト攻撃を避ける為に「使い回しをしない」ように言われています。

読者の皆さんはパスワード管理をどうされていますか?

頭の中に記憶しておく?
ノートなどにメモ書きしておく?
ブラウザに保存しておく?

その他、色々ありますね。

私共では2013年に情報セキュリティに関するライブ配信を開始した時から「頭で覚えるのは無理なので、パスワード管理ツールを使いなさい」と啓蒙してきました。当時はまだパスワード管理ツールの種類は多くなかったですし、一般の方から見ると聞いたことがないような名前の会社からしか出ていなくて、(心理的な)導入のハードルは高かった時代でした。

でも、現在では有名どころのセキュリティツール関連の会社からも出ていたりしますし、ブラウザ自体でもその機能を持つものが増えてきましたので、導入のハードルは低くなったのではないでしょうか?

皆さんが使われているブラウザで言うとGoogle Chromeにはパスワード管理機能が付いています。アカウントを登録する際に「十分複雑なパスワード」を自動生成してくれますし、同時に「使い回し」を避けることが出来ます。尚且つ、そのアカウント情報を保存してくれ、クラウド経由で異なるデバイス間(OSが異なってもOK)での同期も取れます。パソコンの他にスマートフォンやタブレットを使う時代には便利な機能です。

ちなみに私は元々Macを使っているのでOS自体がパスワード管理機能を持っていて、Apple製品間の同期を出来る機能が標準で付いている為、そちらを使っていました。現在ではWindows端末も使い、Android端末も使うのでブラウザをChromeに移行しましたがパスワード管理機能は併用して使っています。

便利ですよね?

でも、実は便利だから勧めているわけではなくて、セキュリティ上の観点から勧めてきているのです。

それは、パスワード管理ツールを使うと「正規サイトではパスワードが自動セットされる」が「偽サイトではパスワードが全くセットされない」のでフィッシング詐欺に引っ掛からないという利点があるのです。一部、作りが悪い正規サイトではパスワードが自動セットされない場合がありますが、それは極めて稀です。多くの場合は自動セットされるので「自動セットされない=偽サイト」という判断をして問題ありませんし、そういう習慣を付けることによって悪意の第三者にアカウント情報を盗まれるのを防ぐことが出来ます。

そうなのです。

パスワード管理ツールを使うと「正規サイトのドメイン」と「ユーザー名」「パスワード」を三点セットで保存してくれます。パスワード管理ツールを使わないと、その三点セットを自分の頭で記憶しなければなりませんが、往々にして「正規サイトのドメイン」は記憶してなくて「サイト名」だけを記憶しがちです。結果として偽サイトを見分けることが出来ず、フィッシング詐欺に引っ掛かってしまうのです。

セキュリティの観点からもパスワード管理ツールを導入し、アカウント情報を頭で覚えるという不毛な労力を使うのは止めましょう。

企業でも全社員分まとめてパスワード管理ツールを導入することでセキュリティレベルを上げることが出来ます。特に、今はクラウドの時代です。多くの企業で何らかのクラウド製品(SaaS)を使っているでしょうから、偽サイトに引っ掛かってアカウント情報を漏洩し、クラウド製品を悪用されないよう対策をすることが重要になります。