パスワードの変更は情報流失してからのタイミングで間に合う?

2.7億件のログイン情報流出との報道、ほぼすべてのパスワードは無効–グーグルら声明

大量のログイン情報が流出したかもしれないというニュースを受けてすぐにGmailのパスワードを変更したけど無駄に終わったみたいです。

ただのメルアドと考える人もいるかもしれないけど、GoogleやMSNのログイン情報はただのログイン情報ではなく、PCやスマホに自由にアクセスできるログイン情報にもなるので、これらのアカウントでは個人で扱うパスワードとしては最も強固なものを設定する必要があります。

パスワードの管理で最も大切なのは、「一定以上の難度のパスワードを使い、且つそれを使いまわさず、定期的に変えること」になります。言うのは簡単ですが、これってかなり難しいことです。どんなパスワードをどれくらい定期的に変えれば良いのか分かりませんよね。

パスワード管理では色々な方法があります。「パスワード生成ソフトを使う」「オリジナルのアルゴリズムを作る」「全部覚える」「思い切って使い回す」などなど、どの方法も便利ですが、一長一短です。

自動的に別々のパスワードを作ってくれるソフトは便利ですが、自分の頭のなかに全く入ってないのは不便です。とっさにパスワードが出てきません。ただ、パスワードを定期的に変える際には簡単です。

個人的にはパスワード生成のアルゴリズムを自分で作ってしまうというパターンが一番確実かと思います。マスターパスワードにウェブサイトのアドレスを差し込むだけでも、一つ一つのアカウントに固有のパスワードが作れます。

すぐに頭の中で変換できるような簡単なアルゴリズムしか使えませんので、複数のパスワードが抜かれて検証されたらアルゴリズムがバレるでしょう。ただ、大抵のハッカーは盗んだパスワードを流用できなければ諦めるので問題無いはずです。パスワードを変える場合には、アルゴリズムを変えることになるのでちょっと面倒です。

全部覚えるのは相当な強者じゃないと難しいですが、「重要なサイト」だけはアルゴリズムも使わずに固有のパスワードを割り振りたいですね。使い回しは言語道断です。多少はアリかもしれませんが、可能な限り避けたい所。

こう考えた場合、基本的なサイトは全て「独自アルゴリズム」の適用でなんとかなります。しかし、万が一に備えて重要度の高いサイトは、そのサイトでしか使わない「完全固有パス」を設定したいです。

覚えられるかどうかは難しいところですが、以外に人間はいろんなものを覚えていますし、自分にしか分からないメモを用意するのも良いでしょう。

まあ、そこまでは良いのですが、いつ変更するかは考えどころ。

数ヶ月置きに変更を要求するケースもありますが、大体は半年から一年単位で変更しろと言われるでしょう。しかし、それこそ無理な話。使い回しやちょっと数字(末尾が西暦とか)を変えただけのパスワードが横行するのは目に見えてます。

GoogleやMicrosoftのセキュリティはかなり強固なものであるはずですし、簡単にパスワードを抜かれるとは思えません。他のサイトで流用していなければそんなに頻繁に変える必要はないはずです。

だからといって変えずにいると末尾を変えるだけのパスワードより危険です。3年は使いすぎな気がしますが、パスワードを変えるきっかけも中々難しいところ。特に、パスワードを変えると複数の端末でパスワードを入れなおすハメになります。

理想は年に一回、何かの区切りに合わせてパスワードを変更することでしょう。年末年始はサービスが止まることも多いので、万が一問い合わせが必要になった時に怖いので、2月1日とかが良いのでしょうか?

それも無理なら2年に一度ぐらいにして、「冬季五輪」や「夏季五輪」がニュースで話題になったらパスワードを変えるみたいな方法でも良いですね。予定表に組み込んでしまった方が早いですが。

ただ、個人的には「情報漏洩がニュースになった時」に変えている人が一番多い気がします。

それこそ定期的に何処かが情報漏洩させているわけで、「怖いなあそろそろ変えておくか」という動機はきっと強い味方になるでしょう。

超重要な情報を扱っていない限り、個人ができる範囲の現実的な線からして、「しばらくパスワードを変えてないから怖い」と感じたら、迷わずすぐにパスワード変更!でも十分な気がしますね。

カテゴリー: Blog

コメントを残す