Webアプリケーションの活用シーンは日々増え続けている。便利なWebアプリケーションは矢継早に登場するし、一度便利だとおもってしまったサービスは継続して使ってしまう。新しいWebブラウザの登場でWebアプリの快適さは向上すると見込まれており、今後ますますWebアプリへの依存度は高まることになりそうだ。
そこで問題になるのが増え続けるパスワードだ。どういったパスワードを作成し使うべきか、いままでよりも明確なポリシーが必要になるだろう。そこで、Googleがオンラインセーフティードキュメントシリーズとして公開しているドキュメントからDoes your password pass the test?に注目したい。
ランダムな8文字パスワードを使うサービスごとに生成して脳みそに記憶しておき、数ヶ月ごとに新しいパスワードに更新するべきだろうか。安全だろうが現実的な方法ではないようにおもえる。厳しいポリシーを設ける方が安全ではあるが、実現できなければ意味が無い。そこでDoes your password pass the test?では次のティップスを紹介している。
- 辞書に掲載されている単語やわかりやすい慣用句、キーボードの配列パターン、誕生日や住所、電話番号といった個人情報など一般的な単語は使わない
- ベースとなるパスワードを決めたら数値、記号を織り交ぜたり大文字小文字を入れ替えるなどしてアレンジし、できるかぎりユニークになるように工夫する
- サイトごとに異なるパスワードを用意する。すべて別のパスワードにすることは不可能かもしれないが、保護対象となる情報ごとに別のパスワードを使うように試みる
- 家族、友人など自分以外の人物にパスワードを漏らさない。共有すればするほど隠蔽が困難になる。パスワードをどこかに書き出すのであれば、書き出したものはPCの近くに置かない。またパスワードは絶対に電子メールで送信したりしない
- パスワードを要求するサービスを使う前に、どういった情報がそのサービスで保持されることになるのかを調査しておく
Google流パスワードの選定方法はGmail - Choosing a password and security questionにもまとまっているので参考にするといいだろう。
パスワードを一括管理するアプリケーションを活用したり、それをオンラインでおこなっているサービスを使うという手もある。前者であればたとえばSeahorseがあり、後者であればPassPackなどがある。技術的およびサービス的な面からみればOpenIDがこうした問題の対処となる可能性もある。どういったサービスやアプリを活用するにせよパスワードを使うのであれば最初に選定するパスワードを推測されにくいものにすることはとても重要だ。