最終レビュー日: 2023年8月18日

パスワードの使い回しは、セキュリティ上危険な行為です。 誰かがあなたのパスワードを入手した場合（それがデータ流出によるものか、それ以外によるものかに関わらず）、その人物は、あなたが同じパスワードを使用している他のアカウントにもアクセスできる可能性が高くなります。 解決策は、あらゆる場所でそれぞれ異なるパスワードを使用し、可能な場合はさらに追加のセキュリティ対策を講じることです。

強力なパスワードの作成 パスワードマネージャーの使用

パスワードマネージャーは、ユーザーに代わってユニークなパスワードを作成し保存するツールです。これにより、ユーザーはさまざまなサイトやサービスで、パスワードを暗記することなく、多くの異なるパスワードを使用することができます。 パスワードマネージャーは、

• 人間には推測が困難な強力なパスワードを生成します。
• 複数のパスワード（およびセキュリティに関する質問への回答）を安全に保存します。
• 単一のマスターパスワード（またはパスフレーズ）でパスワードを保護します。
• デバイス間でパスワードを同期すれば、どこからでもこれらの複雑なパスワードにアクセスできます。

適切なパスワードマネージャーを選ぶには、多少のリサーチが必要ですが、そのプロセスを容易にするために、私たちのガイドにそって作業を進めることができます。

パスワードマネージャーは万人向けというわけではありませんが、優れたパスワードマネージャーは、潜在的なセキュリティ問題を軽減するために最善を尽くします。それでも、覚えておくべき重要なことがあります。

• パスワードマネージャーを使用すると、単一障害点[この1カ所で障害が発生するとシステム全体が停止してしまう」という致命的な部分]が生じます。
• パスワードマネージャーは、敵対者にとって格好の標的となります。

だからこそ、強力なマスターパスワードを設定し、可能な場合は2要素認証を有効にすべきなのです。とはいえ、政府のような強力な敵対者があなたを標的にしている場合は、慎重に適切なパスワードマネージャーを選択し、最大限のセキュリティを確保するために設定を行うことが重要です。

人によっては、パスワードマネージャーよりもローテクなソリューションの方が適しているかも知れません。 それは、あなたの脅威モデルによって異なりますが、すべてのサイトで同じパスワードを再利用するよりも、各サイトごとに異なるパスワードを紙に書き留めて安全な場所に保管する方が良いでしょう。

サイコロを使用した強力なパスワードの作成

特に強力なパスワードが必要なものをいくつか覚えておくべきです。 これには以下が含まれます。

• デバイス用のパスワード
• 暗号化用のパスワード（ディスク全体の暗号化など）
• パスワードマネージャーのマスターパスワード、または「パスフレーズ
• あなたの電子メールのパスワード

人々がパスワードを自分で選択する際に直面する多くの困難のひとつに、人々はランダムで予測不可能な文字列の選択が得意ではないということが挙げられます。強力で覚えやすいパスワードを作成する効果的な方法は、サイコロと単語リストを使用してランダムに単語を選択することです。これらの単語を組み合わせることで、「パスフレーズ」が作成されます。パスフレーズ」とは、セキュリティを強化するために長めに設定されたパスワードの一種です。ディスク暗号化とパスワードマネージャーには、最低でも6つの単語を選択することをお勧めします。

なぜ最低6語の単語を使用するのでしょうか？ なぜサイコロを使用してランダムにフレーズの単語を選ぶのでしょうか？ パスワードが長くてランダムであればあるほど、コンピューターにも人間にも推測が難しくなります。 なぜこれほど長く推測が難しいパスワードが必要なのかについては、こちらの説明動画をご覧ください。

パスワードマネージャーは強力なパスフレーズを作成しますが、アナログ版を試してその仕組みを理解したい場合は、EFFの標準単語リスト、またはオタクの世界から着想を得た単語リストのいずれかを使用することができます。

もし、お使いのコンピュータやデバイスが侵害され、スパイウェアがインストールされた場合、スパイウェアはマスターパスワードの入力を監視し、パスワードマネージャーの内容を盗むことができます。そのため、パスワードマネージャーを使用する際には、コンピュータやその他のデバイスをマルウェアから保護しておくことが依然として非常に重要です。

「セキュリティに関する質問」について一言

一部のウェブサイトが本人確認に使用する「セキュリティに関する質問」には注意が必要です。これらの質問に対する正直な回答は、多くの場合、公に知られている事実であり、悪意のある人物が容易に見つけ出し、あなたのパスワードを完全に回避するのに使用する可能性があります。代わりに、あなた以外にはわからない架空の回答を考えてください。例えば、セキュリティに関する質問が次のような質問をした場合：

「初めて飼ったペットの名前は何でしたか？

パスワードマネージャーからランダムに生成したパスワードを回答として使用できます。また、これらの架空の回答をパスワードマネージャーに保存することもできます。

セキュリティに関する質問を使用しているウェブサイトを思い出し、回答を変更することを検討してください。異なるウェブサイトやサービス上の複数のアカウントに同じパスワードやセキュリティに関する質問の回答を使用しないでください。

多要素認証とワンタイムパスワード

強力で固有のパスワードを使用することで、アカウントのセキュリティを大幅に強化できます。アカウントをさらに保護するには、可能な場合は2要素認証を有効にします。

一部のサービスでは、2要素認証（2FA、多要素認証、または2段階認証とも呼ばれる）を提供しており、アカウントにアクセスするには2つの要素（パスワードと第2の要素）を所有している必要があります。第2の要素は、1回限りの秘密のコードや、モバイルデバイス上で実行中のアプリケーションによって生成された番号である場合があります。

携帯電話を使用した2要素認証には、次の2つの方法があります。

• 携帯電話にセキュリティコードを生成する認証アプリケーションを実行させる（ほとんどのパスワードマネジャーで実行できます。または、スタンドアロンアプリケーション（ Authyなど）を使用することもできます。または、スタンドアロンハードウェアデバイス（YubiKeyなど）を使用することもできます。
• 当該サービスから、ログイン時に毎回入力する必要がある追加のセキュリティコードが記載されたSMSテキストメッセージまたは電子メールが送信されます。

選択肢がある場合は、テキストメッセージでコードを受信する代わりに、認証アプリケーションまたはスタンドアロン型ハードウェアデバイスを選択してください。攻撃者にとって、認証アプリケーションを回避するよりも、これらのコードを自分の電話にリダイレクトする方が簡単です。

Google などの一部のサービスでは、ワンタイムパスワードのリストを生成します。これは、シングルユースパスワードと呼ばれることもあります。これらは印刷または紙に書き留めて持ち歩くことを想定しています。これらのパスワードはそれぞれ1回しか使用できないため、スパイウェアによって入力時に盗まれても、泥棒は今後それを何かに使用することはできません。

ワンタイムパスワードよりも便利なのが、セキュリティコードのバックアップです。多くの認証アプリケーションでは、オプションでバックアップを提供しており、セキュリティコードは第三者サーバーに保存されます。これにより、携帯電話を紛失した場合でも、バックアップを復元して、ワンタイムパスワードを見つけ出すことなく簡単にアカウントに復帰することができます。

バックアップを取っておらず、ワンタイムパスワードを保存していなかった場合、アカウントへのアクセスを永久に失う可能性があります。パスワードマネージャーと同様に、トークンのバックアップにはセキュリティ上のトレードオフがあり、人によってはバックアップを取ることを望まないかもしれません。バックアップがエンド・ツー・エンド暗号化されていることを確認するために、アプリのマニュアルを確認してください。バックアップ用のパスワードを作成するように求められない場合、バックアップは暗号化されていない可能性が高いです。

パスワードを開示する必要が生じる場合もあります

パスワードの開示に関する法律は国や地域によって異なります。 国や地域によっては、パスワードの開示要求に法的に異議を申し立てることができる場合もありますが、一方で、現地の法律では政府がパスワードの開示を要求でき、パスワードやキーを知っている疑いがあるという理由で投獄される可能性もあります。身体的危害の脅威は、誰かにパスワードを明かすよう強制するために使用されることがあります。あるいは、国境を越えて旅行するなど、パスワードを明かすことやデバイスのロックを解除することを拒否した場合に、当局はあなたを足止めしたり、あなたのデバイスを押収したりできる状況に置かれるかもしれません。

米国への出入国時にデバイスへのアクセスを要求された場合の対処法については、米国国境越えに関する別のガイドをご参照ください。その他の状況では、誰かがあなたや他の人にパスワードを教えるよう強制する可能性について考え、その結果がどうなるかを考える必要があります。

https://ssd.eff.org/module/creating-strong-passwords