「World Password Day」(世界パスワードの日)は、普段使っているパスワードを見直し、更新の必要がないか考える良い機会である。
世の中にはさまざまな記念日があるが、World Password Dayは、実は他の多くの記念日よりも重要かもしれない。National Day Calendarによれば、この記念日は、セキュリティ研究者のMark Burnett氏が2005年の著書「Perfect Passwords」の中で提唱した「パスワードデー」のアイデアに端を発している。同氏は、人々がログイン情報を定期的に更新するきっかけになる日を設けることを提案した。この提案を受け、Intel Securityが2013年に最初の「World Password Day」を立ち上げた。この記念日は毎年5月の第1木曜日と定められており、2025年は5月1日に当たる。
データ侵害や標的型攻撃のニュースが、ほぼ毎日のように報じられている現状を忘れてはいけない。年に1度、パスワードの「衛生管理」について考える日を設けることは、私たちが必要としている注意喚起と言えるだろう。これは、いわばデジタルライフにおける「春の大掃除」のようなものである。自身のオンラインセキュリティ対策を見直し、更新・強化する絶好の機会となる。
そこで本記事では、World Password Dayにちなみ、より安全なパスワードの選び方から次世代技術である「パスキー」の活用まで、基本的な対策を紹介する。
1. 「複雑さ」よりも「長さ」を重視する
最近のサイバーセキュリティ専門家は、パスワードの「複雑さ」よりも「長さ」を重視する傾向にある。強力なパスワードとは、少なくとも15文字以上の長さがあり、理想的には互いに関連性のない単語を組み合わせ、記号や数字を含めた「パスフレーズ」形式のものを指す。米国立標準技術研究所(NIST)の専門家も、漏えいしたパスワードデータベースの分析結果から、パスワードの強度においては複雑さよりも長さの方が重要であると指摘している。
2. パスワードマネージャーを活用する
パスワードをGoogleドキュメントや付箋(ふせん)にメモするのは、もうやめよう。今は2025年である。信頼できるパスワードマネージャーを使うことが不可欠である。パスワードマネージャーは驚くほど簡単に導入・設定できる。全てのユニークなログイン情報を、たった1つの強力なマスターパスワードで保護し、安全なパスワードの自動生成や自動入力も行ってくれる。これを使わない手はない。人気のパスワードマネージャーとしては、「1Password」「Dashlane」「Bitwarden」などが挙げられる。
3. 多要素認証(MFA)を有効にする
残念ながら、現代においてはパスワードだけではセキュリティ対策として不十分である。メール、銀行口座、SNSアカウントなど、重要なサービスから優先的に、可能な限り多要素認証(MFA)を有効にしよう。要点としては、パスワードに加えて認証アプリや物理的なセキュリティキーといった第2の認証要素を追加することで、不正アクセスの成功率を大きく下げられる、ということである。
4. パスコード vs. 生体認証
スマートフォンのロック解除方法に関する法的な扱いは、まだ明確になっていない部分もあるが、法律の専門家によれば、パスコードの方が生体認証よりも法的な保護が強力である可能性があるとのことだ。(米国の)裁判所は、パスコードを(米国憲法)修正第5条で保護されるとみなす傾向がある一方、指紋や顔認証といった生体認証は同様には扱われない可能性があるからだ。もし、捜査当局などから生体認証によるスマートフォンのロック解除を強制されることを懸念し、パスコードの方が安全かどうか迷っているのであれば、米ZDNETに寄稿するDavid Berlind氏が取材した専門家は、「現時点では、おそらくパスコードの方がより安全な選択肢だろう」と示唆している。
5. 次世代技術「パスキー」を試してみる
パスワードがすぐになくなるわけではないが、次世代の認証技術であるパスキーに慣れ親しみ、今日から試してみるには絶好のタイミングである。
パスキーは暗号化された認証情報であり、サービス提供側のサーバーではなくユーザー自身のデバイス(スマートフォンなど)に保存される。これにより、従来のパスワードよりも高いセキュリティ、フィッシング詐欺への耐性、そしてよりスムーズなログイン体験が実現する。しかし、米ZDNETに寄稿するBerlind氏が解説しているように、パスキーが広く普及するまでの道のりは平たんではない。
その理由としては、多くのユーザーがいまだにパスワードを使い続けていることに加え、パスキーという新しい技術に不安を感じ、アカウントから締め出される(ロックアウトされる)のではないかと心配している点が挙げられる。また、ユーザーは、慣れない操作プロセスや、アプリ/デバイス間での対応状況のばらつき、パスキーの仕組み自体への理解不足といった課題にも直面している。
こうしたさまざまなハードルはあるものの、多くの専門家や関係者は「パスワードレス」な未来はいずれ実現すると信じており、その価値は十分にあると考えている。
最後に:セキュリティ対策は複合的に
米ZDNETが最近報じた事例だが、あるソフトウェアエンジニアが、不正なAIツールを誤ってダウンロードした結果、マルウェアに感染してしまった。これにより、ハッカーは数カ月もの間、彼のPCに完全にアクセスできる状態となり、最終的にロック解除された1Passwordの保管情報が、他の個人情報とともに盗まれてしまった。重要なのは、これはパスワードマネージャー自体に欠陥があったわけではなく、マルウェアによってデバイス全体が制御されてしまったために起きたということである。
この事例から得られる重要な教訓は、どんなに優れたツールであっても、それ一つだけで完璧なセキュリティは実現できない、ということである。だからこそ、多要素認証の利用が不可欠であり、この記事で紹介した他の対策を組み合わせることが、防御力を高める上で役立つ。そして、信頼できないソフトウェアのダウンロードには細心の注意を払う必要があることも、あらためて浮き彫りになった。ぜひ、World Password Dayを機に、自身のパスワード管理や利用しているソフトウェアを見直し、オンラインセキュリティの強化に取り組んでほしい。
提供:Elyse Betters Picaro / ZDNET
この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。
