カーチャンのパスワードを全部見直しました

はてな匿名ダイアリー

帰省してまとまった時間が取れたから、じゃあ何しようかなって思ってふと、カーチャンのネットに対するセキュリティ意識どうなってるのかなと思ったのです。聞いてみると、丁寧にメモ帳に手書きで残してありました。でも、だんだんと数が増えて面倒になったのか、パスワードの使い回しが散見されていたのです。これはマズイということで、見直しを行いました。その時に考えたことをみんなに共有したくてこの記事を書くに至ったわけです。

LINE乗っ取りの件もあって、ちょくちょくと話題になるけども実際に行動に移していないそこのあなた！

これを期にやってしまいましょう。

はじめに

なんだかんだで手入力せざるを得ないときはあるため、「頻繁に使うサービス」と「たまに使うサービス」を分けて管理します。

たまに使うサービス

あなたはもう記憶しきれないほどのサービスを使っていることでしょう。だから信頼できるアプリに管理を任せます。

オススメのアプリは世界的に利用されている「1Password」です。ちょっとお高いけど、PCでもiPhoneでも使えるし、ログインを楽に行う機能がいろいろ付いています。Android版もあります。カーチャンに買ってプレゼントしました（父さんは自腹…というのは冗談であんまりネット使わないみたいだから共用）。

たまに使うサービスは、この「1Password」を使って複雑なパスワードを自動生成して、必要なときにここからコピペして認証します。

「1Password」自身にかけるマスターパスワードは、もともと使っていたメモ帳にはっきり書いてもらい、他のは捨てました。代わりに、アプリの使い方や追加/変更するときの手順を書いてあげました。

頻繁に使うサービス

例えば、Appleのサービスはよく使うため、パスワードを手入力することが多いです（再起動後のStoreとか）。他には、ブラウザのシークレットモードを使ってGmailを他人の端末で一時的にログインして使わせてもらうような場合もあるでしょう。こういう場合のために、自分ルールを作って導き出せるようにします。

手入力用のパスワードのルールを考える

ルールの要件:

推測されにくいこと
できるだけ長いこと
同じパスワードを使いまわさないこと

【参考】「Apple ID」のパスワードの条件:

英小文字が1文字以上必要です
英大文字が1文字以上必要です
最低1文字の数字が必要です
同じ文字を多数連続することはできません
アカウント名と同じものは使用できません
パスワードは8文字以上にする必要があります
よく知られたフレーズをパスワードに使用することはできません
一年以内に使用されていない
(最大文字数は明示されていない、限度不明)

ちなみに、Gmailは8文字(警告あり)という条件のみ、Facebookは6文字という条件(最終更新時期の明示あり)のみ、でした。

面倒なのは、各サービスでルールが違うことです。

その中でも大きいのが、「サービスによって記号を使えるかどうかが分かれる点」「入力時には条件がわからない点」「設定できる限界文字数が違う点」です。記号を取り入れることは実はそこまで効果が高いわけではないようなので[要出典]、というか現に「Apple ID」では強制されていないので、記号を使わないことでルール違いの壁を回避します。長いことのほうが重要です。

手入力用のパスワードを決める

では具体的にパスワードを決めましょう。例えば、

英数字8文字程度の固定キーワード(ma2uda99)を決めて、
サービス名等(App1e)と組み合わせ、※Lが1になってる
更に別の短い文字の英数字(7yg)を織り交ぜて限界までパスワードを長くします。
- （仮に20文字限界と決める。7ygの繰り返しはサービス名等の大小を吸収する役割。）

この例だと具体的には『ma2uda99App1e7yg7yg7』(20文字)となります。しかし、これだと使い回しによる機械的な「パスワードリスト攻撃」を防ぐことができても、人間に見られてしまっては『ma2uda99Goog1e7yg7yg』と推測されてしまいそうです。なので、更に工夫してルールが見えにくいように『Goma2uda99og1e7yg7yg』とします（サービス名の頭2文字を先頭に移動した）。これは例なので、実践する時は自分なりに工夫してくださいね。1年に1度は必ず変更するルールにして、年の情報をうまく混ぜてもいいと思います。

手入力用のパスワードは、多くても5個くらいにとどめておいたほうがいいでしょう。もちろんこのルールで決めたパスワードも「1Password」に登録します。よくわからなくなったら「1Password」を頼ればいいんです。どこぞの航空会社とかでは文字数制限的にこれらのルールが当てはめられなくてどうにもできないんですけどね。。

やっぱり面倒ですね

これを書いていて、やっぱり面倒だな～…と自分でも思いました。そういう場合は全部「1Password」に任せましょう。高くて買えない場合は代替ソフトか、実物のメモまたはiCloudのメモアプリでもいいんです。短くて推測されやすいパスワードを使いまわすよりよっぽどいいです。今はブラウザのパスワード記憶もありますしね。

実際、カーチャンにはさすがにないなと判断してすべて「1Password」に統一してもらいました。

おわりに

これらを実践すれば、使いまわしていた人は覚えるべきことは増えてしまうかもしれませんが、今までよりも安心して過ごせるはずです。自分の怠惰さとセキュリティリスクを天秤にかけて、どうすべきか選択してください。

また、万が一のために「1Password」に保存した内容のバックアップもしておきましょう。暗号化していないテキスト形式で取り出すこと（エクスポート）ができるので、定期的にそのファイルをZIPにし、マスターパスワードと同じものをつけてローカル保管しておきます。マスターパスワードは、事故に遭ったりしたときに家族に知らせられるようにしておきます。こういった利点もあるんですね。

なお、私自身を特定されたくないのと、もうこれは自分の利益じゃなくて国レベルでちゃんとすべきだと思うのでここに書くことにしました。これじゃダメだ議論をする人やセキュリティにお詳しいあの人やあの人！もっともっと啓蒙してください。あーだこーだ言ってないで、じゃあ具体的にどうするのか優しく提示してあげてください。