パスワードの管理方法

Uncategorized

パスワードの管理方法はいくつも候補があるけど、たとえばどんな方法があるのか、
具体的にどんなメリット・デメリットがあるのかを考えます。

はじめに

Webサービスの充実化やスマホが普及したこと、ネットワーク環境が発達したことで、
アカウント登録をすることが増えています。
利用するサービスが多ければ多いほど、
アカウントが増えて、パスワードも増えて。。。あれ?このサイトのIDとパスワード忘れた。。
ということになりかねません。(実際に経験している人は多いはず。)
パスワードの管理方法は物理的な保存方法から、パスワード管理サービスを利用するなど、
たくさんの方法があると思いますが、コレ!!というベストな回答がなかったりします。
まずは、メリット・デメリットを考えつつ、最適解について考えたいと思います。

具体的な方法

パスワード管理で考えられるのは、主に以下。

  • 自分で覚える(記憶に頼る)
  • 紙に書いて管理する
  • PCのローカル領域に暗号化しておいて復号して使う
  • SNSアカウントでSSO(シングルサインオン)
  • ブラウザに記憶させる
  • パスワード管理アプリ(サービス)を利用する

1つずつ見ていきます。

自分で覚える(記憶に頼る)

自分で覚えます。どこにも残さず、自分の頭のなかにとどめておく。

メリット

  • 覚えている限り、いつでも使えます。
  • 自分で言わない限り、情報漏えいのリスクがありません。

デメリット

  • 忘れる可能性が高いです。

身1つで済むので管理用の端末も不要、誰かに窃取される心配もないということで、
使い勝手は最高です。
ただ、大量にあると忘れます。大量になくても忘れます。

紙に書いて管理する

昔ながらの方法。よくある、PCのロック解除パスワードを付箋に書いてモニターに貼っておく。みたいな。(これはだめ。)

メリット

  • ネット上に情報漏えいしない
  • 記憶に頼るよりも多くのパスワードが管理できる(あくまでも記憶と比較した一般論。)
  • 覚えなくていい

デメリット

  • 紛失や盗難にあうリスクがある
  • 紙やインクが劣化するリスクがある
  • 紙に書く、書いたものを探すといったアクションに時間がかかる

ネットで情報漏えいというのがとても身近に起こっている中で、そこを抑えられるのは大きいです。
でも、結局やりがちなのは、IDとパスワードを同じ場所で管理していて、紙ごと紛失すること。。
こうなったら、アカウントを停止するしかないです。
最悪の場合、アカウントも忘れていたり、どんなサイトに登録していたかを忘れているので、
八方塞がりです。。

PCのローカル領域に暗号化しておいて復号して使う

テキストファイルなどのドキュメントに書いておいて、
暗号化ツールなどを使って都度都度復号して使う。使ったらまた暗号化する。というのをやる。

メリット

  • ネット上に情報漏えいするリスクが低い
  • パスワードが増えても管理可能
  • 覚えなくていい

デメリット

  • ファイルを保存したPCがないと利用できない
  • 登録や利用の度に復号が必要なので非常に手間がかかる。

暗号化→復号化→暗号化といった一連の動作を毎回行うので、パスワードが露出している時間は短く、
ファイルもローカルで管理しているので、流出するリスクも低いというのは良いところ。
でも、毎回毎回やるのは面倒なので、結局復号したものを放置するリスクもある。

SNSアカウントでSSO(シングルサインオン)

TwitterやFacebookなどのアカウントを使ったSSO。

メリット

  • アカウントの流用になるので新しく登録する手間がない
  • パスワードを新たに覚える必要がない
  • SNSと対象サービスとの連携が図れる

デメリット

  • SNSアカウント情報が流出すると、複数サービスに影響が発生する
  • SNSアカウントの情報ごと流出する。
  • SSO対応していないサービスでは利用できない。

SNSと連携しているサービスって結構多いですよね。。
でも、SNSは特に個人情報が多く含まれている(公開している情報ではあるものの。)ので、
流出時のリスクは高いのでは?と思ってます。
また、SNSアカウントと紐づけたくない!というときは絶対に選択肢になりえませんね。

ブラウザに記憶させる

普段から利用しているブラウザに記憶させる。
と、オートコンプリート機能で勝手にやってくれる。

メリット

  • パスワードの自動入力が可能。
  • パスワード管理が容易。
  • 入力するサイトを記憶しているので、サイトの改造に気づきやすい

デメリット

  • 利用端末に依存するため、設定のエクスポートや移行が必要。

パスワード管理アプリ(サービス)を利用する

1Passwordなど、各種サービスを利用することで、活路を見出したい。

メリット

  • 暗号化/復号化もアプリ(サービス)でやってくれるので、コピペするだけ。
  • パスワード管理が容易。
  • 自動入力の利用も可能。

デメリット

  • サービス提供元で情報漏えいが発生した場合、複数サービスで被害が発生しうる。
  • サービス提供元でデータ消失などがあると、パスワード情報そのものが紛失する。

わりとこれが現実的に管理できる範囲かなぁという。
もちろん、サービス提供元は全幅の信頼を置くという前提になります。
また、提供側で情報窃取してないというのも前提です。

パスワード管理の最適解

結局のところ、利用するサービスによって使い分けるっていうのがベターな選択肢だと思われます。
また、ひとつにまとめておくと、紛失したとき、盗難にあったときなどに、一気に全アカウントに影響が出るので、リスク分散という意味でも分けたいところ。

例えば、銀行口座のパスワード(暗証番号)は、自分で覚えておいてどこにも書かないというのがよさそうだし、
お金にかかわらないアカウント情報は使い勝手重視でブラウザに記憶させておいたり、パスワード管理アプリの利用もよいと思います。

まとめ

結局は、目的にあわせて管理方法を分けつつ、リスク分散をしておく。というのが大事ですね。

そもそもの前提として、パスワード管理アプリやブラウザの機能を使う場合、
その提供元を全面的に信頼したうえで使うことになっているということは忘れずに。

コメント

タイトルとURLをコピーしました