せっかく強いパスワードを作っても、次から次へと忘れてしまっては意味がない。とはいえ、自分の記憶力に頼るのも難しいのが現実だ。例えば、野村総合研究所が実施した調査では、5割以上のユーザーは、覚えていられるユーザーID/パスワードは2~3組と答えた(図1)。
図1●過半数はパスワード3個が限度
ユーザーが「覚えていられる」と回答したユーザーID/パスワードの数。国内のパソコンユーザー1000人を対象に、野村総合研究所が2009年に実施した。調査の結果、平均は3.1組だった。
前回の「作成編」では、自分が忘れにくいパスワードの作り方を述べたが、それでも、パスワードが複数個になると、覚えているのは難しいだろう。
パスワードを忘れると、覚えていられることを優先させて、より弱いパスワードを再設定するようになる。それを繰り返すことでパスワードは徐々に弱くなり、最終的には破られる恐れがある(図2)。
図2●記憶に頼るとパスワードは弱くなる
パスワード管理の最悪のシナリオと、推奨されるシナリオ。記憶だけに頼ると覚えられず、弱いパスワードを設定するようになる。その結果、破られる危険性が高まる。覚えられないからといって弱いパスワードを設定するのは厳禁。メモやツールを活用しよう。
記憶だけに頼らない
最悪のシナリオに陥らないためには、記憶に頼らないことが重要。覚えられなければ、パスワードを変えるのではなく覚え方を変えるのだ。つまり、頭で覚えるのではなく、メモやツールに覚えさせるようにする。
ユーザーIDやパスワードをメモするポイントは、自分なりのルールで変換すること(図3)。変換しておけば、メモを見られても悪用される危険性は小さい。
図3●そのままメモするのは厳禁
パスワードをメモする際の変換例。サービス名やユーザ名、パスワードをそのままメモしてはいけない。他人に見られたとしても分からないように、自分なりのルールで変換しておく。
変換のルールはいろいろ考えられる。例えば、ユーザーIDやパスワードの一部分だけをメモする。自分が忘れそうな部分だけを書き留めたり、一部を伏せ字にしたりする。
言葉で書いておくのもよい。パスワードを作成する際に使った文章やルールだけを言葉でメモする。
余計な文字列を加えるのも効果的だ。パスワードの前後などにダミーの文字列を追加する。
