増え続けるパスワードの管理、いい加減イヤになりませんか?
私は過去に Yahoo! IDを乗っ取られてオークションで偽ブランド品を大量に売られ、IDを凍結された経験があります。
盗まれたパスワードは決して安易な名前や誕生日の語呂合わせではなく、完全オリジナルで英数字混在10文字以上のものでした。
どこでパスワードが流出したのかわからない漠然とした恐怖心は、今も私の中にしっかり残っています。
そんな恐怖心から編み出した、忘れっぽくズボラな私でも管理できる【究極】のパスワード管理法をご紹介します。
パスワード設定の問題点
パスワードを考えるときに困るのが、Webサイトやサービスによって使用できる文字の種類や文字数が異なることです。
ハイフンやアンダーバーなどの記号が使えたり使えなかったり、指定の文字数もバラバラ、最近は大文字と数字を必ず入れることが必須の場合も増えています。
- 指定の文字数が異なる
- 使える文字の種類が異なる(記号がOK・NGなど)
- 大文字を必ず入れるなどのルールが異なる
パスワードの作り方
パスワードは全てに活用する「コアパスワード」と、Webサイトやサービス別に設ける「識別子」を組み合わせて作ります。
指定されるパスワードの文字数はWebサイトやサービスによって異なるので、「コアパスワード」はあらかじめ【 3種類 】用意しておきます。
1コアパスワードをつくる
まず「4文字」「8文字」「12文字」のコアパスワードを、数字と小文字の組み合わせでそれぞれ決めておきます。
コアパスワードは推測が難しい語呂合わせで、絶対に忘れない思い入れの強いものにします。
| 4文字 | s521(犬の名前シロの頭文字 犬の誕生日5月21日) |
| 8文字 | 2019228a(祖父の命日2019年2月28日 祖父の名前の頭文字) |
| 12文字 | yakyuusuki55(野球すき 選手の背番号) |
※パスワードの文字数はWebサイトやサービスによって異なりますが、あらかじめ「4文字」「8文字」「12文字」の3種類を用意しておくと、たいていのパスワードに対応できます!
- 直接自分とは関連がない数字を使う(親や子どもの誕生日もNG)
- 好きなことや好きなものから作った日本語をローマ字に変換する
2サービスを表す識別子をつくる
次に各種サービスを表す「識別子」を大文字でつくります。
最近は大文字と小文字、両方の使用を求められることが多いので、識別子は大文字のみで構成します。
| G-mail | GM(G-mailの頭文字) |
| マイクロソフト | MS(Micro Softの頭文字) |
| みずほ銀行 | MZH(MiZuHoの頭文字) |
「識別子」の文字数に制限はありませんが、2~3文字がオススメです。コアパスワードと組み合わせたときに文字数が増え過ぎないための考慮です。
※もしも記号の使用が必須の場合は識別子最後に「-」(ハイフン)を入れる、など自分のmyルールを決めておきます。
3コアパスワードと識別子を組み合わせる
最後に「コアパスワード」と「識別子」を組み合わせてパスワードにします。
コアパスワードと識別子の組み合わせパターンは、指定される文字数に合わせて決めます。
| G-mail | GM2019228t (識別子+8文字のコアパスワード)) |
| マイクロソフト | yakyuusuki55MS (12文字のコアパスワード+識別子) |
| みずほ銀行 | MZHs521 (識別子+4文字のコアパスワード) |
「識別子」を前につけるか後ろにするかは自由ですが、すべてに共通する自分のmyルールを決めておくと覚えやすくなります。
4識別子を保管する
「識別子」はExcelなどの電子ファイル、もしくは紙に書き留めて保管します。
ただし保管するのは「識別子」と文字数だけです!
「コアパスワード」は暗記するのが1番安全ですが、忘れてしまう心配があるときは必ず別の場所で保管します。
| G-mail | GM 8 |
| マイクロソフト | 12 MS |
| みずほ銀行 | MZH 4 |
※「識別子」と「コアバスワード」を別々に保管することで、仮に「識別子」を流失、もしくは紛失したとしても、パスワードが悪用される最悪の事態を防ぐことができます。
※「識別子」は各サービスごとに異なるので、仮に1つのパスワードが漏れた場合も「コアパスワード」が分からなければ他のパスワードは安心です。
- 「識別子」と「コアパスワードの文字数」のみを、手帳・スマホ・パソコンなどに記録する
- コアパスワードは暗記できたらベスト
- コアパスワードの暗記が難しい場合は、識別子と必ず別の場所で保管する
悪いパスワード例
最も狙われやすいのはパスワードを「0000」など初期設定のまま変更していない場合です。
また名前と生年月日は、SNSなどを通じて第三者に知られる可能性がもっとも高い個人情報なので、自分で思っている以上にハイリスクです。
自宅の電話番号や車のナンバーも、その気になれば他人が入手できるので注意が必要です。
- 初期設定のまま変更していない
- 名前と誕生日の組み合わせ
- passwordなど安易な英語
- 123456など安易な数字
- 自宅・携帯電話・車の番号
IDが凍結すると何が起きる?
私のヤフーIDが乗っ取られたのは約2年前ですが、ヤフオクでLOUIS VUITTON(ルイ・ヴィトン)やCHANEL(シャネル)の偽商品が多数出品されていました。
私の場合はヤフー側が先に不正に気付き、前触れもなくYahoo!JAPAN IDが利用停止になっていました。IDが凍結されると出品だけでなく落札もできなくなります。
にも関わらず、勝手に登録された「Yahoo!プレミアム会員」の会費(月額498円)は、ID凍結後もしっかり口座から引き落とされ続けていました。
カスタマーセンターに乗っ取りと凍結を主張して会費の払い戻しをお願いしましたが、調査に半年くらいかかりました。(最終的に会費は全額戻ってきました。)
Yahoo!プレミアムに注意
2020年現在、Yahoo!Japanは「IDやパスワードを利用して行われた行為の全責任は、該当するYahoo! JAPAN IDを保有されている方の責任とみなし、ヤフー側は一切責任を取りません」というスタンスを取っています。
参考:安全にYahoo! JAPAN IDをご利用いただくために
私はオークションの出品だけで済みましたが、中には高額な商品を落札されて、勝手に代金を指定口座から引き落とされるケースもあるようです。
※その場合のキャンセルや代金の払い戻しにも、現在は対応してもらえないようです。
またYahoo!プレミアムの会員費は日割り計算がなく、仮に当月1日に解約を申し出ても1カ月分の会費が翌月に請求されます。
私のように知らない間に引き落とされていないか1度チェックしてみるのも良いかもしれません。
さいごに
Yahoo! IDの乗っ取り発覚後、スマホやGoogleにも国外(主に中国やアメリカ)から不正アクセスの確認が何度も来るようになり、パスワードの使いまわしがどれほど危険か身を持って実感しました。(どこから盗まれたのかは現在も不明)
最近は銀行口座からの不正出金が発覚し、認証方法の甘さが問題視されているので、ますます複雑なパスワードを求められる機会が増えてきそうです。
「コアパスワード」と「識別子」を組み合わせてつくるパスワードは今のところ、どのサービスにも対応できています。乱雑するパスワードの管理にお役に立ていただけたら何よりです。
