Freelance Life

フリーランス、プログラミング、ファブリケーション、電子回路、起業

メールアドレスのパスワードは最も堅牢にするべき

なぜ書くのか

きっかけは、自分はパスワードをよく忘れるため「パスワードの再設定」をよく使うのですが、パスワード再設定画面を見る回数が多いのも「メールアドレスアカウントを盗まれるってかなり危ないよね」と思ったことでした。

そしてこれを記事に書こうと思った理由は以下の3つです。

  1. メールアドレスって歴史が長い分、昔から使っているメールアドレスだとパスワードを短いままほったらかしにしてる人が多いんじゃないかと思ったためです。

  2. メールアドレスのパスワードを他のパスワードよりも堅牢にすべきと警告してる人(記事を書いている人)も少ないなぁという印象もあったので。

  3. 記事にまとめることで、自分の考えを整理して今後セキュリティ対策について考える時間を減らしていきたいため。

※ちなみに「最も堅牢にするべき」と書いていますが、意味合いとしては銀行やクレジットカードのアカウントくらい堅牢にしましょうって意味で書いています。

どんな人に読んでほしいか

  • メールアドレスを昔から使っている人。パスワードを短いまま放置している人。
  • これまでメールアドレスのアカウントのパスワードについてそこまで意識していなかった人。
  • それなりに堅牢にはしてるけど、なんとなくでパスワードを堅牢なものにしていた人。
  • セキュリティ対策とかあんまり時間かけて考えたくないし、いい感じにできていれば良いという人。

一般的な再ログインの種類

私はFacebookを利用していますので、そちらを例にあげます。

f:id:taiyop:20190107125902p:plain
Facebookパスワード再設定画面

この写真のように、基本的な方法は以下の3つです。他のサイトでもだいたい似たようなものになっています。

  • 連携した外部アカウント(ここではGoogleアカウントになっていますが、サイトによって異なります。選択肢がない場合もあります。)
  • メールアドレス
  • SMSでコード送信

このうち、もっとも多くのwebサービスで使えるのは登録しているメールアドレスでのパスワード再設定になります。

メールアドレスのアカウントが盗まれるとどうなるか?

前述の通り、パスワードはメールアドレスで再設定できるのが一般的ですので、

登録したメールアドレスのメールを見れる人は、ほぼ全ての利用サイトでアカウントのパスワード変更ができてしまいます。

そしてもちろん、パスワード変更ができれば、そのままサイトにログインして勝手に投稿や購入などもできてしまいます。

どうするべきか

完全に個人的な意見ですが、メールアドレスのパスワードは英数字+記号含めた

13桁以上

にすることです。

一般的には少なくとも11桁以上と言われていますが、コンピュータの性能向上でそのうち11桁でも安全ではないと言われると思うので、しばらくは使い続けられるように13桁以上でしておくのが良いんじゃないかなぁと思っています。

15桁、16桁くらいにすればまぁより長く安全にそのパスワードを使い続けられると思います!

(もちろんそれでも、セキュリティにもっと真剣に考える人は「定期的にパスワードを変えましょう」と言いますし、それはより堅牢にするためにできる方はした方がよいでしょう。)

〈オマケ〉SNSのパスワードも堅牢にしておくべき

最近というかもう何年も前から、SNSログインはとても普及しています。再ログインが簡単なことや、パスワードを個別に設定しなくて良くなるなどの利便性が理由として挙げられます。

そのため、現在はSNSアカウントも盗まれれば、非常に多くのサイトにアクセスできる価値のあるアカウントとも言えます。

f:id:taiyop:20190107131907p:plain
Facebookログインしているアプリの確認方法

ですので、SNSログインをよく使っている方はそのアカウントのパスワードも堅牢にしておくことをお勧めします。

最後に

セキュリティと利便性は両立が難しいです。

利便性を追求すればするほど、セキュリティリスクも上がることが多いです。

もちろん、ITの進化で徐々に堅牢ながらも利便性の高い仕組みにはなっています。

ですが、やっぱりセキュリティリスクを完全に0にするのは難しいので、自分の身は自分で守るためにきっちりパスワードは安全なものにしておきましょう。

オマケのオマケ

パスワード管理を楽にしたい方は1passwordやlastpassなどを使うのもおすすめです。

これらは保存データを暗号化しておいてくれているので、仮にサイトがクラックされてデータが流出しても、データは暗号化した状態なのでそのままではパスワードを使うことができません。

もちろんパスワードを一元管理するのは流出時のリスクが大きくなってしまうとも言えるのですが、それでも短いパスワードを使うよりかは安全だと思っています。

1password.com

www.lastpass.com