パスワードの考え方

学習のねらい

インターネット上のサービスを利用する際、ほぼ必ず必要になるのがパスワードです。 「複雑なパスワードをたくさん覚えるのは大変」と感じている人もいるかもしれません。 このレッスンでは、現代のパスワードの「正しい」考え方と、なぜそれが重要なのかを学びます。

1. 短く複雑より「長く覚えやすい」パスワードへ

以前は「大文字、小文字、数字、記号を混ぜて8文字以上」が推奨されていました。 しかし、これだと覚えにくく、メモに残したり使い回したりする原因になりがちです。 現在は、より長く、でも自分にとっては覚えやすい「パスフレーズ」が推奨されています。

たとえば、「WatashiNoSukiNaSyumiHaGeemuDesu!」(私の好きな趣味はゲームです！) のように、 複数の単語を組み合わせたり、文のような形にしたりするパスワードです。 このようなパスフレーズは、たとえ文字の種類が少なくても、長さがあるため推測されにくくなります。 米国CISA (サイバーセキュリティ・インフラセキュリティ庁) は、最低12文字以上のパスフレーズを推奨しています。

2. パスワードの使い回しは危険

複数のサービスで同じパスワードを使い回すと、一つのサービスからパスワードが漏洩（ろうえい）した場合に、 他のすべてのサービスも危険にさらされてしまいます。これを「芋づる式」の被害と呼びます。

たとえば、あまり重要でないと考えていたWebサイトからパスワードが漏れてしまったとします。 もしそのパスワードを銀行やメールサービスでも使い回していたら、攻撃者は漏洩したパスワードを使って あなたの銀行口座やメールを乗っ取ろうとするかもしれません。 それぞれのサービスで異なるパスワードを設定することが、被害の拡大を防ぐために非常に重要です。

3. 定期変更より「漏洩したら即変更」が主流

「パスワードは3ヶ月に一度変更しましょう」と教わった人もいるかもしれません。 しかし、これも現在の考え方とは少し異なります。 定期的なパスワード変更は、ユーザーが覚えやすい簡単なパスワードにしたり、数字を一つ変えるだけといった 推測されやすいパターンになりがちで、かえってセキュリティリスクを高める可能性が指摘されています。

それよりも大切なのは、「パスワードが漏洩していないか」を常に意識し、 もし漏洩の兆候があったり、利用しているサービスから漏洩の報告があったりした場合は、 すぐにそのパスワードを変更することです。 Google Chromeなどのブラウザには、保存しているパスワードが漏洩していないかをチェックする機能もあります。

まとめ

パスワードは、短く複雑にするよりも「長く、覚えやすいパスフレーズ」を設定しましょう。 使い回しは避け、サービスごとに異なるパスワードを設定することが大切です。 そして、定期的な変更よりも、漏洩が判明した際に迅速に変更する意識を持ちましょう。 次のレッスンでは、これらの複雑なパスワードを安全に管理する方法について学びます。