せっかく苦労して作ったパスワードも忘れてしまっては意味がない。前回までの「強化編」では、手軽なパスワード強化方法と作成方法を紹介したが、それでも、慣れるまでは忘れる恐れがある。たまにしか使わないパスワードならなおさらだ。

 システムの都合(記号が使えないなど)で、いつもとは異なるルールでパスワードを生成した場合や、一度に複数作った場合も要注意。人の記憶は、思いのほか当てにならないものだ。作ったときには「これなら忘れない」などと思っても、しばらくしたら忘れてしまうことがある。

 「そういったことが続くと怖いのが、『悪魔のループ』だ」(セキュリティフライデーの佐内氏)。悪魔のループとは、パスワードの忘却と、パスワードの単純化を繰り返すこと。強いパスワードを作っても、忘れてしまうことで、「次からは、覚えやすいようにもっと簡単なパスワードにしよう」と考えて、単純なパスワードにする。そして、そのパスワードも忘れて、もっと単純なパスワードにしてしまう……。

 そこで「管理編」では、悪魔のループに陥らないためのパスワード管理術を紹介する。

「安全」にメモする

 「強化編」同様、基本方針は少なければ少ないほどよい。それが図4-1の3つ。まず挙げられるのが、「覚えられなければメモする」こと。

図4-1●管理ための「基本方針」
図4-1●管理ための「基本方針」

 セキュリティの教科書の中には、「パスワードを書き留めることは危険」としているものが多い。パスワードは書き留めることなく、覚えることを推奨している。しかしそれでは、悪魔のループに陥る恐れがある。「パスワードをメモしておくこと自体は決して悪いことではない。やり方次第」(マイクロソフトの小野寺氏)。同様の意見は、今回取材したほとんどすべての専門家から聞かれた。当然のことながら、パスワードを書いたメモをパソコンに張っておくようなことは許されない。「安全にメモする」(セキュリティフライデーの三島氏)ことが重要だ。

 安全なメモのポイントは、(1)誰でも見られる場所には置かない、(2)パスワードなどをそのまま書いておかない――の2点(図4-2)。

図4-2●「安全なメモ」のポイント
図4-2●「安全なメモ」のポイント
パスワードをメモしておくことは、決して悪いことではない。覚えられないからといって安易なパスワードを付けることの方が危険だ。ただし、単にメモするだけでは危ない。安全にメモしておくことが重要だ。

 例えば、持ち歩いている財布や、鍵をかけている引き出しにしまっておく。いつも上着のポケットに入れている手帳の中に書いておいてもよい。こうしておけば、簡単に見られる心配はない。

 加えて、万一見られても、パスワードや、そのパスワードの用途が分からないようにしておく。WebサービスのURLやユーザーID、パスワードをそのまま書いておくと、簡単に悪用されてしまう。

自分だけが分かるように

 具体的には、ユーザーIDやパスワードを自分なりのルールで変換しておく(図4-3)。例えば、全部は書かずに、覚えにくい部分だけをメモしておく(変換ルール1)。最初の何文字かはしっかり覚えておいて、残りだけを書いておく方法や、一部を伏字にしておく方法が考えられる。

図4-3●メモするときには「変換」を
図4-3●メモするときには「変換」を
複数のパスワードを1つの手帳などにメモしておくときには、それぞれ異なるルールで変換しておいた方よい。変換ルールについては、絶対にメモしておかないこと。
[画像のクリックで拡大表示]

 ユーザーIDやパスワードの前後に、余計な文字列を追加する方法もある(変換ルール2)。この場合には、余計な文字列とパスワードの区切りさえ覚えておけばよい。

 言葉で書いておくのもお勧めだ(変換ルール3)。こうしておけば、パスワードであることさえ、他人には分かりにくい。何かの覚え書きのように見えるだろう。

 「強化編」で紹介したように、パスワードを自分なりのルールで作成している場合には、「そのルールの番号やヒントをメモしておく」(ラック取締役の西本逸郎氏)のも手だ。言葉だけではなく、絵やイラストを使うのも、他人には分かりにくいので効果的。例えば、ネットバンキングのパスワードなどを書いた部分にはコインのマークを書いておいたり、パスワードを自分なりの「絵文字」で記述しておいたりする。

 当然のことながら、変換ルールまでメモしてはいけない。例えば、余計な文字列を追加して分かりにくくしても、同じメモに「区切りは@と:」などと書いたら、変換した意味はない。変換ルールはできるだけ記憶しておきたい。

 忘れたときに備えて変換ルールを書き留める場合には、別の手帳や紙に、これも自分だけが分かる言葉で書いておく。