2019年06月27日カテゴリ:Webサイト運用

【お役立ち度125%】覚えやすくて安全なパスワードの作り方のアイデア(グループで共有篇)

パスワードの管理は21世紀の悩ましくて面倒な問題の一つです。

その悩みを解決するパスワードの作り方のアイデアは、こちらの記事「【お役立ち度120%】覚えやすくて安全なパスワードの作り方と管理方法のアイデア」でご紹介していますが、その方法はあくまで個人で使う場合のアイデアです。

21世紀のオフィスワーカーの間では、メールで送る添付ファイルにパスワードをかけたりするため「パスワードを共有する」「パスワードを伝える」という局面がたびたび訪れます。

「合言葉は?」

「山」

「川」

ぐらい簡単なら苦労はないのですが、破られては元も子もないので工夫と管理が必要です。
今回はグループの中で安全で効率的にパスワードを上手に使っていくアイデアをご紹介します。

パスワードを「共有する・伝える」リスクと煩雑さ

本来秘密にしておきたいパスワードを共有するのは、どんな時でしょう?

パスワードをかけたファイル(Zip圧縮やOffice系のファイルやPDFなど)をメールに添付で送る時

これは頻度も高くて、なかなか厄介なやつです。
毎回同じパスワードにしてしまっては脆弱なので、個別に変更するとしても、データ(添付ファイル)そのものとパスワードを2通に分けて送信する手間があり、長期にわたる人数の多いプロジェクトでは、メールの通数を倍増させる嬉しくない効果があります。

最近はメールにファイルを添付すると自動的に、後追いでパスワードを発行して送信してくれるサービスもありますが、送った本人もそのパスワードを知らない状況が発生するため、肝心のパスワードが相手の迷惑メールフォルダに届いてしまった時には、「届いてない」「そんなはずはない」という不毛な水掛け論も招きかねません。

パスワードを紛失した人

開発中の未公開のサイトに基本認証(Basic認証)をかける時やファイルサーバーのアクセス制御領域にかけるパスワード

これは、一つのパスワードを共有するという、普通に考えるとリスクの高いものです。
通常は一人ずつ個別のアカウントで認証を管理すべきですが、「知らない人にはみられたくない」ぐらいの要求レベルの時に、「共有する」という方法をとります。

安全性のことを考えると長くて複雑なものにするべきなのですが、「忘れた」「無くした」というリクエストに答える管理者の回答コストと、覚えやすいものにする脆弱性のトレードオフになってしまいます。

リスクと安全

解決のヒントはルパン三世 カリオストロの城

観たことがあっても思い出せるかどうか微妙なシーンですが、この問題を解決するヒントがあのアニメ映画「ルパン三世 カリオストロの城」の中にあります。

(ネタバレ注意です。飛ばしたい方はこのリンクをクリック!)

秘密の財宝のありかを示す暗号が、大公家と伯爵家で別々に受け継いできた指輪を合わせると、間に刻まれた文字が読めて謎が解けるという仕掛けです。

つまり、パスワードは2つの部分に分けて運用することを予め決めておくことで、安全性と利便性を高めることができるのです。
以前の記事でも「暗唱部分」と「一定のルールで取得できる部分」に分けたように、グループで使う場合も「秘密部分」と「公開部分」に分けて管理するのです。

添付ファイルのパスワード(1回こっきり)の場合

プロジェクトのメンバーなど添付ファイルをやりとりするユーザーの間で、あらかじめ「秘密部分」の文字列を決めておきます。

たとえば、秘密部分を「cagliostro」としておけば、添付ファイルを送るメールには「パスワードは、今日の日付です」と、堂々と書いてしまっても漏洩リスクは極小化できます。
なぜなら、実際のパスワードは「cagliostro20190628」であって、「20190628」だけでは添付ファイルを開くことはできないからです。(ただし、「今日の日付」が「20190628」なのか、「2019628」なのかは間違いがないようにきちんと伝える必要がありますし、秘密部分の前につけるか後につけるかも決めてきましょう)

これならメールを2通に分けて送信する手間もなく、「公開部分」も毎回適当に長さ(文字数)を変えれば安全性も高まります。

秘密部分と公開部分で構成されたパスワードの図

共有するパスワードの場合

共有する前提のパスワードの場合は、パスワードとしての堅牢性を確保するために文字数を長くする必要がありますが、これも二つに分けると「覚えやすさ」と「安全性」を両立させることができます。

共有メンバーへの「公開部分」を比較的覚えやすい長い文字列にしておいて、メンバーの入れ替わりなどの時に変更する「秘密部分」に分けるのです。
たとえば、公開部分を「icponozenigatadesu(ICPOの銭形です)」としておき、秘密部分は「2741(船酔い)」などの簡易なものを適宜変更していくという運用です。

パスワード入力フィールド

jpcertの「STOP! パスワード使い回し!キャンペーン2018」によれば「パスワードの文字列は長ければ安全」とのことです。英小文字+数字だけでも、12桁あればとりあえず大丈夫で、仮に英文字だけだとしても、単語を数個をつなげた長い文字列の方がはるかに強力なパスワードになるそうです。

グループ内での情報共有にはプロジェクト管理ツールの類も普及してきて、だいぶ便利にはなってきましたが、まだまだパスワードの出番が無くなりません。
パスワードが思い出せなかったりするイライラと、パスワードの文字列を考え出さなくてはならないストレスから少しでも解放されるために、ぜひ一度お試しください。

ちなみに「秘密部分」の文字列は、できるだけ口に出すのも恥ずかしいものにしておくのがおすすめです。「oretatiikemen(俺たちイケメン)」みたいな文字列って、忘れた人に尋ねられても口頭では伝えにくいですよね。それはそれでソーシャルエンジニアリング(人間の心理的な隙や、行動のミスにつけ込んで情報を入手するアナログな手法)のような情報詐取のリスクを下げる効果があるのです。


パスワードを個人で設定して使う場合のアイデアについてはこちらの記事をご参照ください。

Getting Betterとは

企業の忙しいWeb担当者の方のために、コーポレートサイトやオウンドメディアの運営に欠かせない情報やトレンド・ノウハウを解説するブログです。

日々のサイト運営のご参考になれば幸いです。

IMAGICA Lab.のWebサイト構築サービスについてはこちら
https://www.imagica-imageworks.co.jp/web/

「株式会社IMAGICAイメージワークス」は、2018年10月1日に「株式会社IMAGICA Lab.」となりました。

トップへ