パスワードを使う上で、絶対に守るべき鉄則は図1の上の3つだ。(1)の「記号や数字、大文字などを交ぜる」と、(2)の「類推しやすいパスワードは使わない」は、総当たり攻撃や辞書攻撃に対する対策だ。(3)の「パスワードを使い回さない」は、最近急増しているパスワードリスト攻撃の被害に遭わないための対策である。
これら3つを守った上でさらに、(4)「重要なサービスのパスワードは定期的に変更する」ことと、(5)「人の目に触れないようにする」ことも重要だ。万一パスワードが流出した場合でも、(4)の作業で定期的に変更していれば被害を最小限で食い止めることができる。
パスワードを洗い出す
まず最初にやるべきことは、利用しているパスワードの洗い出しだ(図2)。日常的に利用しているWebサービスはすぐにリストアップできても、たまにしか使わないWebサービスや、一度使っただけで放置しているものは、すぐには思い出せないだろう。