弱いパスワード、使っていない?
Webサービスの利用が増えるとともに、増え続けるパスワードの管理は頭の痛い問題だ。ITに精通したユーザーはパスワード管理マネージャや独自の方法でアカウントを管理しているが、すでにサービスが存在していないアカウントも含めてリストは記憶にないアカウントであふれている場合も多いのではないだろうか。にもかかわらず、毎日のように新しいアカウントの作成が求められる。こんな状況に、うんざりしてしまうのも当然である。
一方、ITが苦手なユーザーはあらゆるアカウントにおいて同じ電子メールアドレスとパスワードを使い回している。その場合、どこかでアカウントデータが漏洩したら、芋づる式にさまざまなアカウントにひもづけられたデータが流出する。場合によっては金銭的な被害を受けるおそれもある。
Googleはこうした状況に対応するため、Chromeにおけるパスワード管理機能の強化に取り組んできた。本稿執筆時点のバージョン(Google Chrome 88)は、ユーザーがパスワードを設定する際に安全なパスワードを提案し、さらに自動で管理してくれるようになった。この機能を使う限り、パスワードが推測されて不正ログインが行われる可能性は低い。しかし、この機能が登場する前に設定した弱いパスワードは話が別だ。しかも、ほとんどの人が弱いパスワードを設定したことすら覚えていないだろう。これではパスワードの変更のしようもないのである。
時々パスワードを手入れしよう
Google Chrome 88に、以前入力した弱いパスワードを表示して更新する機能が追加された。サイバーセキュリティの脅威は日々増している。時々、自分の設定したパスワードを手入れして安全なものに置き換えていくのは悪くない習慣だ。
まず、Chromeの右上のユーザーアイコンをクリックして、表示されるメニューから鍵のアイコンをクリックする。または、アドレスバーに「chrome://settings/passwords」と入力して、パスワードの管理画面へ移動する。
パスワード管理画面で「パスワードを確認」をクリックする。この部分は次のスクリーンショットのようになっていることもあれば、
次のように「不正使用されたパスワード: ○○件」といったように、既に不正利用が確認されていることが表示されていることもある。不正使用が確認されている場合は直ちに変更を行ったほうがよい。
情報漏洩が確認されているアカウントやパスワードを使っていると、次のスクリーンショットのように「不正使用されたパスワード」という一覧にアカウントが表示される。
「パスワードの変更」ボタンをクリックすると、該当するアカウントのパスワード変更ページが開かれるので、そちらでパスワードを更新する。
サービスによってはパスワードの変更ページが表示されないこともある。その場合は該当サービスのトップページからパスワード変更のページまでたどってパスワードを変更する。場合によってはサービスが終了しており、サイトそのものが消えていることもある。
「パスワードを確認」画面で「もう一度確認」ボタンをクリックすると、そのタイミングでアカウントデータの漏洩確認が行われる。仕事の切り替え時期、長期休み前後、年末年始、誕生日など、何らかのタイミングでこの画面からパスワードを手入れしよう。使っていないアカウントはサービスを提供しているページへ移動して、アカウントそのものを削除するなどの手入れも行いたい。サイバー攻撃ではさまざまなデータを使ってユーザーのアカウントを特定しようとする。使っていないアカウントデータはできるだけ削除しておこう。
安全なパスワードを使う
パスワードを設定する際はChromeの提案する安全なパスワードを使おう。次のスクリーンショットのように、パスワードを入力するフィールドにフォーカスが移動すると「安全なパスワードを自動生成…」というメニューが表示されると思うので、これを選択すればよい。
次のスクリーンショットのようにChromeが推奨されるパスワードを表示するので、これを選択する。
入力したパスワードはChromeが管理してくれる。もちろんあとから閲覧したり編集したりすることもできる。
ダイアログが起動してきてパスワードを更新するかを聞かれたら、そのまま更新しておこう。本当にパスワードが保存されているのか気になるなら、変更を行ったあとにChromeのパスワード管理画面に移動して、入力したパスワードが保存されているか確認しておこう。
パスワードの強度を保つために定期的に手入れしよう
パスワードはときどき手入れを行うことが大切だ。我々の生活はますますこうしたアカウントに依存するようになっている。データ漏えいは毎日のように世界中で発見されているし、いまこの瞬間にも、セキュリティベンダやセキュリティファーム、セキュリティ機関が検知できていないデータ漏洩が発生している可能性もある。パスワードはどんな場合でもユニークで十分に強いものを使う、今のところこれがアカウントを保護する根幹だ。
以前は安全だと考えられていたパスワードも、時間経つと強さが十分ではないと判断されるようになることもある。ときどきパスワードは手入れをして、弱いと判断されたら設定し直そう。パスワード再設定の段階で多要素認証の機能が追加されたことに気がつくかもしれない。そうしたら多要素認証の機能も有効にしよう。こんな感じで、作ったアカウントはときどき手入れをする。主要ブラウザはこうしたパスワード管理に適した機能の追加に随時取り組んでいる。新しく追加された機能を知り、上手く使っていこう。