と、ここまではいい。複雑怪奇なパスワードも、1つ2つだったら、何度も入力しているうちに意外に覚えられるものだ。しかし、「リスト型攻撃」に対しては無力。この攻撃は、実際に使われているIDとパスワードをWebサービスなどから盗んで、それを別のWebサービスの攻撃にも使う、というもの。つまり、どんなに複雑で長いパスワードを設定していても、それを使い回して色々なサービスで利用していたら、リスト型攻撃で簡単に突破されてしまう。
つまりこれは、異なるIDとパスワードをWebサービスごとに設定しなければならない、ということを意味する。これが難しい。スマートフォンを使っていて、Webサービスに毎回IDとパスワードを手入力しなければならないと考えると、かなりげんなりするのではないだろうか。
例えば匿名で気軽に使っているSNSぐらいなら、不正ログインされても影響は少ないだろう。個人情報の登録が少ないサービスであれば、危険性は少ない。そう考えるとサービスによってパスワード強度を変える、というやり方で手間を減らすといいかもしれない。
もう1つの手は、ブラウザのパスワード同期機能を使うやり方。ChromeとSafariは、それぞれパスワードの同期機能を備えており、PCと、AndroidまたはiOS(SafariはiOSのみ)の間でパスワードを同期できる。
この機能も、スマートフォンが紛失・盗難に遭った時に、スマートフォンからサービスに不正ログインされる、という危険性がある。スマートフォン自体にロックをかけるのはもちろん、遠隔からデータ削除できるようにしておくべきで、Androidなら「Androidデバイスマネージャー」、iOSなら「iPhoneを探す」がある。PCやほかのスマートフォンから、紛失した端末の現在位置を見つけたり、ロックをかけたり、データを消去したりできる。