使い回したパスワードが危険な理由
平均的な人は100以上のアカウントを扱いますが、覚えられるパスワードはほんの数個だけです — そのため使い回したり、「password1」「password2」のような弱い変形に頼ったりします。どこか一つのサイトが侵害されると(年に数千回起きています)、ボットがそのメールとパスワードの組み合わせを、数時間以内に銀行・メール・SNSへ次々と試します。これがクレデンシャルスタッフィングであり、アカウントごとに固有のパスワードを使うことだけが唯一の本物の防御です。(何が実際にパスワードを強くするのか、ゼロ知識保管がどう機能するのかについては、パスワードセキュリティに関するLearnの記事をご覧ください。)
4ステップでパスワードマネージャーを始める
- 1まず、パスワードマネージャーを選んでインストールします。PrivaPassはアカウント不要で、ブラウザ上だけで完結します。他の選択肢としては、Bitwarden(オープンソースで無料プランあり)、1Password、あるいはブラウザに内蔵されているマネージャーなどが挙げられます。あなたの使い方に合ったものを選びましょう。
- 2次に、エントリーのインポート、または新規作成を行います。まずは、各サイトにログインするたびにそのパスワードを保存していくところから始めるのがおすすめです。多くのマネージャーは、ブラウザに保存済みのパスワードをまとめてインポートする機能にも対応しています。特に重要なアカウントから、新しいランダムパスワードを生成し直していきましょう。
- 3弱いパスワードや使い回したパスワードを点検して入れ替えましょう。ほかのすべてをリセットできるアカウントから — まず主要なメール、次に銀行や金融。haveibeenpwned.comで自分のアドレスを確認し、既知の侵害に出てくるものはすべて変更してください。
- 4重要なアカウントすべてで二段階認証(2FA)を有効にしましょう — 特にメール、銀行、そしてほかのパスワードのリセットに使える可能性のあるものすべてに。たとえマスターパスワードが何らかの形で漏れても、2FAが不正アクセスを阻止します。SMSよりも認証アプリやパスキーをおすすめします。
パスワードセキュリティのプロのコツ
マスターパスワードには、パスフレーズを使うのがおすすめです。4〜5個のランダムな単語を組み合わせたものは、複雑だが短いパスワードよりも安全でありながら、しかも覚えやすいという利点があります。 マスターパスワードは、デジタルの形では絶対に保存しないでください。紙に書き留めて、オフラインの安全な場所に保管しておきましょう。 Have I Been Pwned(haveibeenpwned.com)のようなサービスを使って、自分のメールアドレスが既知のデータ侵害に含まれていないかを、定期的にチェックしましょう。 利用しているサービスが侵害を報告した場合は、リセットを強制される前に、自ら積極的にパスワードを変更しておきましょう。