パスワードを安全に保存する最適な方法
付箋に書いたメモ、使い回しのパスワード、スマホのカメラロールに保存したWi-Fiコードの写真。それでも一応は機能します……問題が起きるまでは。アカウントがハッキングされたり、データが漏洩したり、「Fluffy123」のどのパターンを使ったのか思い出すのに1時間も費やす羽目になるまでは。
ここでは、パスワードを安全に保存する方法を、決定版として解説します。
パスワードを安全に保存する方法:徹底比較
人々は長年にわたってパスワードを使用してきました(People have used passwords for a very long time)が、有効なセキュリティ対策である一方、万能ではありません。最適なパスワードの保存方法は、あなたの利用習慣によって異なります。技術への慣れ具合や、管理しているアカウント数も判断材料になります。
一般的には、利便性とセキュリティの両面でパスワードマネージャーが最適な選択肢です。とはいえ、ノートやブラウザ、記憶に頼っている人も少なくありません。以下では、それぞれのパスワード保存方法のメリットとデメリットを解説します。
パスワードマネージャーアプリ
パスワードマネージャーは、暗号化された保管庫にログイン情報を安全に保存・整理します。そのため、すべてのアカウントで強力かつ一意のパスワードを使いながら、覚える必要があるのは1つのマスターパスワードだけです。多くのパスワードマネージャーには、パスワード生成ツール、自動入力、弱いパスワードや使い回しを検知するアラートなど、便利な機能も備わっています。
たとえば、ExpressVPN Keysには、クレジットカード情報やプライベートメモの安全な保存、2要素認証(2FA)コードの生成・保管など、必要な機能がすべて含まれています。これはExpressVPNアプリに組み込まれており、すべてのサブスクリプションで無料で利用でき、VPNのサブスクリプションが終了した後も引き続き機能します。
ブラウザのパスワードマネージャー
Chrome、Firefox、Safari などの多くの最新ブラウザには、パスワード管理機能が標準で搭載されています。便利ではあるものの、ブラウザのパスワードマネージャーは、専用のパスワードマネージャーと比べて、一般的にセキュリティ面で劣ります。
暗号化が弱い場合が多く、クロスプラットフォームでの同期に対応していないこともあり、保存できるのは主にパスワード、クレジットカード、住所情報に限られます(より複雑なWebフォームには対応できないことが一般的です)。また、多くの場合マスターパスワードが不要なため、デバイスに物理的にアクセスされた際には、大きなセキュリティリスクとなります。
メモを使った物理的な保存方法
紙にパスワードを書いて保存する方法は、非常に限定された状況では有効な場合があります。特に、管理するアカウント数が少ない場合です。しかし、この方法には現実的なリスクがあります。ノートを盗まれたり、他人に見られたりする可能性があり、誤って破棄されたり紛失したりすることもあります。
たとえ何も起こらなかったとしても、複数のパスワードを書き留めていると、どれが最新のものかわからなくなる恐れがあります。この方法を選ぶ場合は、ノートを鍵付きの引き出しや金庫に保管し、旅行の際には持ち歩かないようにしてください。
パスワードを記憶する方法
記憶に頼る方法は安全ではありますが、数十、あるいは数百ものアカウントを管理している人にとっては、現実的とは言えません。現在では、これが大多数の人に当てはまります。最も強力なパスワードは、ランダムな文字を長く組み合わせたもので、解析されにくい一方、覚えるのも困難です。その結果、パスワードを使い回したり、単純化したりしたくなりがちですが、これはセキュリティを大幅に低下させます。
パスワードを記憶したい場合は、パスフレーズ(try using a passphrase)を使う方法があります。これは、ランダムでありながら覚えやすい単語を組み合わせたもので、「planet-window-lemon-tide-jury-stool」のような形式です。
オフラインとオンラインのパスワード保存方法の比較
パスワードの保存方法には、オフラインとオンラインの2つの選択肢があります。ここでは、自分に合った方法を選ぶための比較ガイドを紹介します。
| オフライン保存 | オンライン保存 | |
| 例 | 紙のノート、暗号化USBドライブ、ローカル専用のパスワードアプリ | クラウド型のパスワードマネージャー(例:ExpressVPN Keys) |
| 利用できる範囲 | 物理的にアクセスできる場所、または1台のデバイスに限定 | 同期により複数のデバイスで利用可能 |
| セキュリティ | オンライン上の脅威はないが、盗難・紛失・破損のリスクがある | 暗号化されているが、方式や製品によって安全性は異なる |
| 利便性 | 手動入力が必要で、自動入力や同期は不可 | 自動入力、パスワード生成、リアルタイム更新に対応 |
| バックアップと復元 | 自動バックアップがなく、失いやすい | クラウドバックアップやアカウント復元機能がある |
| 向いている人 | アカウント数が少なく、プライバシーを重視する人 | 高いセキュリティと利便性を求める多くのユーザー |
強力なパスワードを作成し、アカウントを保護するためのベストプラクティス
どのような保存方法であっても、強力なパスワードは、悪意ある攻撃者から身を守るための第一の防御策です。以下では、ログイン情報を安全かつ管理しやすく保つための、サイバーセキュリティのヒントを紹介します。
長く、ランダムで、一意な組み合わせを使う
最も強力なパスワードは、長く、推測されにくいものです。少なくとも12文字以上を目安にし、大文字と小文字、数字、記号を組み合わせて使用しましょう。名前や誕生日などの個人情報は避け、「123456」「password」「qwerty」のような一般的なパスワードは絶対に使わないでください。これらはハッカーが真っ先に試すものです。実際、多くの攻撃は、あなたの国で最もよく使われているパスワード(most popular passwords used in your country)を試すことから始まります。
セキュリティの面では、ランダムな文字の組み合わせを使うのが最も効果的です。
覚えやすさを高めるためにパスフレーズを使う
パスフレーズは、実際に覚えられる強力なパスワードを作成するための有効な方法です。複雑な文字列の代わりに、「river-banana-light-chair」のように、関連性のない単語を並べて使用します。パスフレーズは覚えやすく、それでいて攻撃者には推測されにくいのが特徴で、特に単語の間に記号や数字を入れると、さらに安全性が高まります。
さらに、パスフレーズは単純なパスワードよりも長く、より安全です。作り方がわからない場合は、パスフレーズの例を見る(take a look at our passphrase examples)ところから始めてみてください。
アカウント間でパスワードを使い回さない
パスワードの使い回しは、重大なセキュリティリスクです。1つのアカウントが侵害されると、攻撃者は他のサービスでも同じパスワードを試すことが多く、これはクレデンシャルスタッフィング(credential stuffing)と呼ばれる手法です。また、データ漏洩によってパスワードが流出し、それを他のサイトでも使用していた場合、それらのアカウントも侵害される恐れがあります。
そのため、すべてのアカウントで一意のパスワードを使用することが重要です。特に、メール、銀行、業務用プラットフォームなどの重要なアカウントでは必須と言えます。個人用アカウントと仕事用アカウントで同じパスワードを使うのは避けてください。1度のインシデントが、組織全体に影響を及ぼす可能性があります。
過去にパスワードを使い回していた場合は、まず重要なアカウントのパスワードを変更する(changing your password for important accounts)ことから始めましょう。特にGoogleアカウントのように、多くのWebツールへのアクセス権を持つアカウントは優先度が高くなります。今後この問題を避けるためには、パスワードマネージャーの利用を検討してください。非常に便利で、ExpressVPN Keys のようなツールであれば、パスワードの使い回しといった問題も通知してくれます。
2要素認証(2FA)を有効にする
2要素認証は、ログイン時に第2の確認ステップを求めることで、セキュリティをさらに強化します。一般的にはコードの入力が必要ですが、アプリでの操作やUSBデバイスの接続が求められる場合もあります。たとえパスワードが盗まれたとしても、第2の要素がなければアカウントにアクセスされることはありません。利用可能な場合は、特に重要度の高いアカウントで2要素認証を有効にしてください。
情報漏洩を監視する
ExpressVPN Keysのようなサービスを利用して、パスワード、メールアドレス、クレジットカード番号などの機密情報に関わる情報漏洩を監視しましょう。これにより、パスワードの変更など、必要な対応を迅速に行うことができます。
チームでビジネス用パスワードを管理・保存する方法
チームでパスワードを管理するには、単にスプレッドシートを共有するだけでは不十分です。安全で整理された管理体制を整えることで、情報漏洩を防ぎ、脆弱なセキュリティ運用を改善できます。
チームアクセス用の共有保管庫
ビジネス向けのパスワードマネージャーでは、チームがログイン情報を保存・共有できる、集中管理された暗号化保管庫を利用できます。これにより、パスワードをメールで送信したり、文書で管理したりする必要がなくなり、共同作業をより安全かつ効率的に行えます。
役割ベースの権限設定
大規模なチームを管理する場合は、まず最も高いアクセス権限が必要な人を特定します。次に、役割ベースの権限設定を導入し、各メンバーが本当に必要とする情報のみにアクセスできるよう可視性を制御します。たとえば、カスタマーサポートチームにはヘルプデスクツールへのアクセスは必要でも、社内の人事プラットフォームへのアクセスは不要な場合があります。このような方法を取ることで、リスクを低減し、機密情報へのアクセスを適切な担当者のみに限定できます。
管理者向けの監視機能
アクティビティログ、アクセス要求、パスワードの強制更新といった、管理者向けの機能を備えたパスワードマネージャーを選びましょう。これらの機能により、従業員のセキュリティに関する利用状況を把握でき、潜在的な問題について管理者が早期に気付くことができます。また、説明責任を明確にし、チーム全体で強固なセキュリティ運用を徹底することにもつながります。
サイバー犯罪者がパスワードを盗む一般的な手口
ハッカーは、さまざまな手口やツールを使ってパスワードを盗み取ります。弱いパスワードを解析する方法もあれば、利用者をだまして自らパスワードを入力させる方法もあります。
ブルートフォース攻撃
ブルートフォース攻撃は、パスワードを盗む一般的な方法(a common method for stealing passwords)です。攻撃者はプログラムを使い、膨大な数のランダムな文字の組み合わせを試すことで、パスワードを推測します。
より高度な手法では、ウェブサイトに保存されている、ハッシュ化されたパスワード(the scrambled version stored by websites)が標的になります。ハッカーがハッシュ化されたパスワードにアクセスできた場合、自分たちの環境で時間をかけて解析を進めることが可能になります。
これに対抗するため、多くのプラットフォームでは、保存するハッシュ化パスワードに「ソルト」を追加しています。これは、ランダムなデータを付加したうえで暗号化する仕組みです。その結果、ハッシュを逆算して実際のパスワードを特定することが、より困難になります。
どのような手口であっても、短い、または単純なパスワードは解析されやすくなります。安全を維持するためには、長く複雑なパスワードを使用することが重要です。
パスワードスプレー攻撃
パスワードスプレー攻撃は、「password123」や「Welcome1」のような一般的なパスワードを、複数のアカウントに対して一斉に試す手法です。1人のユーザーに対して何度もパスワードを推測するのではなく、1つの共通パスワードを多くのユーザーに対して試すことで、検知を回避します。
この攻撃から身を守る最も効果的な方法は、一般的なパスワードを使用しないことです。
フィッシングの手口
フィッシングとは、主にリンク付きのメールやテキストメッセージを使って、利用者をだまし、パスワードを入力させる手口です。たとえば、銀行から届いたように見えるメールでログインを求められることがありますが、リンク先はログイン情報を盗むために作られた偽のサイトである場合があります。
フィッシングに対抗するには、2要素認証を有効にしてください。パスワードを入力したにもかかわらず、2要素認証の確認が表示されない場合は、注意すべきサインです。また、ExpressVPNの脅威マネージャー機能(ExpressVPN’s Threat Manager feature)を利用すれば、既知の悪意あるウェブサイトにアクセスしようとした際に警告を受け取ることができます。
クレデンシャルスタッフィング
クレデンシャルスタッフィング攻撃では、サイバー犯罪者が、あるWebサイトから盗まれたユーザー名とパスワードを、他のサイトで使い回します。つまり、攻撃者はあなたの過去のパスワードの使い方を利用して攻撃を仕掛けてくるのです。複数のアカウントで同じパスワードを使い回していると、この種の攻撃によって、メール、SNS、さらには銀行口座など、あらゆるアカウントへのアクセスを許してしまう恐れがあります。
キーロガー
キーロガーは、感染したデバイス上で入力されたすべてのキー操作を記録するソフトウェアの一種です。攻撃者は何らかの方法でキーロガーをデバイスにインストールする必要があるため、比較的実行の難易度は高いとされています。キーロガーは、不正なダウンロード、不審なWebサイト、怪しいメールの添付ファイルなどを通じて拡散することが多くあります。
対策としては、パスワードマネージャーを利用することが有効です。自動入力を有効にしていれば、マスターパスワード以外を入力する必要がなく、記録されるキー入力自体が存在しません。また、信頼性の高いウイルス対策ソフトを導入することで、情報が侵害される前にキーロガーを検出・ブロックできます。
物理的・ローカル環境での盗難手法
ローカル環境での盗難とは、デバイスや保管場所への物理的なアクセスによって、パスワードが盗まれてしまうケースを指します。たとえば、多くのブラウザのパスワードマネージャーでは、デバイスにアクセスできる人であれば、保存されたパスワードを簡単に閲覧できてしまいます。また、暗号化されていないファイルや、パスワードを書いた紙のメモを第三者が見つける場合も含まれます。
安全を保つためには、すべてのデバイスで画面ロックや強力な認証を有効にしてください。また、物理的・デジタルを問わず、安全でない場所にパスワードを保存するのは避け、共有デバイスに誰がアクセスできるのかを定期的に見直すことが重要です。
パスワードを保存する最悪の方法
一般的なパスワードの保存方法の中には、サイバー犯罪者に侵入の機会を与えてしまうものがあります。以下では、パスワードの安全性を最大限に高めるために、避けるべきポイントを解説します。
平文ファイルにパスワードを保存すること
テキストファイルにパスワードの一覧を保存するのは、非常に危険な行為です。暗号化されていないファイル(メモ帳、スプレッドシート、スクリーンショットなど)は、場合によっては、デバイスに物理的にアクセスされなくても閲覧されてしまう可能性があります。
さらに、デバイスを紛失・盗難された場合、すべてのアカウントへのアクセスを失うだけでなく、そのデバイスを手にした第三者が、すべてのアカウントに侵入できてしまいます。パソコンやスマートフォンに、暗号化されていない形式でパスワードを保存することは避けてください。
メールやメモアプリにパスワードを保存すること
メールの受信箱やメモアプリにパスワードを保存するのは、便利に見えてもリスクが高い行為です。メールや多くのメモアプリは暗号化に対応しておらず、安全なパスワードの保存を想定して設計されていません。さらに、ロックされていないデバイスに物理的にアクセスできる人であれば、保存されているすべてのパスワードを閲覧できてしまいます。
もし過去にパスワードを自分宛てにメールで送信していた場合は、それらのメッセージを探し出し、完全に削除することをおすすめします。
保護せずにパスワードを書き留めること
紙にパスワードを書き留める方法は、慎重に扱えば安全な場合もあります。しかし、単に書き留めて机の上に放置するのは非常に危険です。その紙を見つけた第三者が、あなたのアカウントにアクセスできてしまいます。紙に書いた控えは必ず鍵のかかる場所に保管し、無防備な状態で持ち歩かないようにしてください。
FAQ:パスワードの保存に関するよくある質問
すべてのパスワードを覚えることは可能でしょうか?
理論上は可能ですが、ほとんどの人にとって現実的ではありません。アカウント数が増えるにつれて、特に強力で一意なパスワードを使用している場合は、記憶するのが難しくなります。複雑なパスワードは覚えにくいため、結果としてパスワードを使い回したり、弱いパスワードを選んでしまいがちです。
パスワードマネージャーを使えば、記憶だけに頼ることなく、すべてのパスワードを安全に管理できます(helps you securely track all your passwords)。重要なアカウントをいくつか覚えるために強力なパスフレーズを使うのは有効ですが、それ以外については、ExpressVPN Keysのような信頼できるパスワードマネージャーの方が、安全で利便性にも優れています。
オフラインでパスワードを保存する最も安全な方法は何でしょうか?
USBドライブに保存した暗号化ファイルのような物理的な媒体を使うことが最も安全なオフラインの方法です(The safest offline way is to use a physical medium)。オフライン保存では、パスワードをインターネットから完全に切り離せるため、ハッキングのリスクを抑えることができます。ただし、デメリットもあります。
たとえば、金庫に保管したノートにパスワードを書き留める方法は比較的安全ですが、携帯性には欠けます。持ち歩けば、その分セキュリティは低下します。
USBメモリや紙を使用する場合でも、紛失する可能性は常にあります。また、USBデバイスを使う場合、スマートフォンしか手元にない場合や、USBポートのない新しいMacBookしかない場合には、互換性の問題が生じることもあります。
ブラウザのパスワードマネージャーは安全でしょうか?
ブラウザのパスワードマネージャーは便利ですが、セキュリティ面ではいくつかの制約があります。多くの最新ブラウザにはパスワードマネージャーが組み込まれています(Most modern browsers include built-in password managers)。これらはパスワードを保存し、必要に応じて自動入力しますが、ブラウザやデバイスに依存するため、デバイスが侵害されたり共有された場合にはリスクが高まります。
専用のパスワードマネージャーと比べると、ブラウザのパスワードマネージャーには、強力な暗号化によるデバイス間同期、セキュリティ監査、侵害アラートといった高度な機能が不足していることが多いです。日常的な利用には基本的な保護を提供しますが、特に複数のデバイスで管理する場合は、専用のパスワードマネージャーの方が、より安全な選択と言えるでしょう。
パスワードを保存する最適な方法は何でしょうか?
一般的には、専用のパスワードマネージャーを使用する(Using a dedicated password manager)のが最もおすすめです。強力なパスワード生成機能により、すべての一意なパスワードを暗号化された保管庫に安全に保存できます。自動入力やデバイス間同期による利便性に加え、侵害アラートや2要素認証(2FA)への対応など、追加のセキュリティ機能を備えていることも多くあります。
パスワードを書き留めたり、記憶に頼ったりする方法と比べると、パスワードマネージャーは、使い回しや弱いパスワードによるリスクを大幅に減らせます。オフラインの方法が有効な場合もありますが、多くの人にとっては、専用のパスワードマネージャーが安全性と使いやすさの両立に優れた選択肢です。
パスワードを保存するのに最適なプラットフォームは何でしょうか?
ExpressVPN Keysは、パスワードを安全かつ便利に保存できるプラットフォームです。強力な暗号化を用いてパスワードを保護するよう設計されており、複数のデバイス間でのパスワードの生成・保存・アクセスを簡単に行えます。使いやすいインターフェースと堅牢なセキュリティ機能を備えた、信頼性の高いソリューションです。
銀行口座のパスワードは、どこに保存するのが最適でしょうか?
銀行のパスワードは、安全で暗号化されたパスワードマネージャーに保存するべきです。銀行口座には重要な金融情報が含まれるため、特に厳重な管理が求められます。パスワードマネージャーはパスワードを暗号化し、安全に保管します(A password manager encrypts your passwords and stores them safely)。そのため、アクセスできるのは基本的に本人だけです。
銀行のパスワードを、平文ファイル、メール、保護されていないメモなどに保存するのは避けてください。さらに安全性を高めるため、銀行口座で2要素認証を有効にすることもおすすめします。
複数のアカウントのパスワードを安全に保存するには、どうすればよいでしょうか?
パスワードマネージャーを使うのが、最も安全で簡単な方法です。ExpressVPN Keysを利用すれば、すべての一意なパスワードを1つの暗号化された保管庫に安全に保存できます。アカウントごとに強力なパスワードを生成できるため、パスワードを使い回す必要がありません。オフラインの方法と比べると、取り違えのリスクを大幅に減らせます(Compared to offline methods, it significantly reduces the risk of mix-ups)。特に数十個のアカウントを同時に管理している場合でも、オンラインセキュリティの管理がずっと簡単になります。
ネット上で身を守るための第一歩を踏み出しましょう。リスクなしでExpressVPNをお試しください。
ExpressVPN を入手
