WEBサービスのログインなどに使うパスワードの管理方法に関する持論です。多要素認証などの話はしません。論拠になっているソースは忘れてしまったものが多いので注意です。
パスワード管理でやってはいけないこと
パスワードは使いまわさない
複数のWEBサービスで同じパスワードを使いまわしていると、セキュリティの弱い1つのWEBサイトでパスワードの漏洩があった場合に、芋づる式に他のWEBサイトでもパスワードが漏洩したのと実質同じことになってしまいます。クラッカーは多くの人が複数のWEBサービスでパスワードを使いまわしていることを利用し、セキュリティの強いサービスを直接狙わず、攻撃しやすいサイトを狙ってパスワードを得ようとします。
短いパスワードを使わない
通常の多くのWEBサービスではパスワードは暗号化してデータベースに保存されています。そのため、データベースの情報が漏洩してもパスワードは簡単にはわからないようになっています。
しかし、パスワードの復号は、パスワードが短ければ短いほど簡単になります。例えばアルファベット27文字で6文字であれば約4億通りのパターンでの復号を総当たりすればパスワードを見つけることができます。8文字だと約3000億通りになりますが、クラウドサービスやボットネットで時間をかければ現実的に復号できてしまいそうな数です。
パスワードを定期的に変えたりしない
パスワードを覚え直すという作業はほとんどの人にとって苦痛です。結果的にパスワードが覚えられなくて付箋にメモして他人に見られたり、覚えやすい(推測しやすい)パスワードを使いがちになり、結果的にセキュリティが弱くなってしまいます。
パスワードを変えるという行為には、1度侵入された場合に長期間侵入され続けないようにする効果がありますが、1度侵入された時点で意味ないですし、変更したパスワードが推測しやすいものであれば何度でも再侵入されます。
長くてランダムなパスワードを定期的に覚え直すことが苦にならない人はこの限りではないです。
パスワードを他人と共有しない
ウイルス感染による情報漏洩であったり、人為的な不正操作が行われた場合に原因や犯人の特定が難しくなってしまいます。悪いことをしたい人は共有アカウントでやることをお勧めします。
WEBサービスのパスワードを他人に共有するのは遺書くらいにしておくべきです。1つのプロジェクトに複数アカウントが参加する機能を有料にしているWEBサービスは多いですが、ケチらず課金しましょう。
パスワード管理のベストプラクティス
パスワード管理ツールを使う
LastPassや1Passwordのようなパスワード管理ツールを使い、長くてランダムなパスワードを作りましょう。パスワードを使いまわしていると警告してくれたり、多要素認証に対応しているものもあります。
パスワードの中にサービス名を含めたり、ランダムな単語の組み合わせや文章にすることで長くて覚えやすく、使い回さないパスワードを作るようなテクニックはありますが、ツールを使うのが圧倒的に楽ですし安全です。
個人向けのパスワード漏洩保証保険が出ない限りは保険の代わりだと思ってパスワード管理ツールを使うべきだと思います。ブラウザのパスワード保存機能でも良いかと思いますが、利用できるブラウザが限定されてしまったり、ブラウザとアプリでパスワードが連携できなかったりして不便です。パスワード管理ツールのパスワードのメモは遺書と一緒に保管しておきましょう。
メールサービスやSNSのセキュリティには特に気をつける
メールサービスのセキュリティには特に気をつけましょう。多くのWEBサービスはメールを受け取れることで本人確認をしていて、メールサービスに不正アクセスされると、パスワードリマインド機能でパスワードがリセットできてしまいます。どれだけパスワード管理に気を付けていても意味をなさなくなります。ログイン連携をしているSNSも同様です。必ず多要素認証の設定をしましょう。
WEBサービスの作り手として心がけること
ユーザーが上記のベストプラクティスの行動が取れるような設計を心がけたいものです。
何が言いたいかというと、パスワードは16文字以内で記号や大文字が使えないとか言ってくるWEBサイトは滅びて欲しい。