面白そうなウェブサービスは増える一方で、とりあえず登録したい、触ってみたいと思うことは多くあります。新しいサービスを使用するには会員登録が必要で、それには毎回パスワードの設定が求められます。半角英数字で10文字以上！無数にあるサービスに対してそれぞれに強度の高いパスワードを設定すると、メモなしに覚えておくことは至難です。

• testabcd
• testabcdd
• atestabc

わたしはこんな感じでベースの文字列を決め、サービス毎にランダムに数文字つけるみたいなことを長年続けてきました。最近のブラウザは良くも悪くも親切でパスワードを自動で覚えてくれますが、Web + ネイティブアプリでサービスを提供してくれるタイプだとブラウザが覚えてくれるだけでは足りません。覚えにくい強度が高すぎるパスワードの手打ち入力はストレスを伴うため、ある程度決まったフレーズだと使いやすいというわけです。

その代償として似たような脆弱なパスワードを各地に散らすこととなりました。

自分で覚えるのを止めてパスワードマネージャーを使用する

世の中にはパスワードを管理してくれる便利なサービスがあると教えてもらい、2年ほど前から1Passwordを使用しています。数あるパスワードマネージャの中から1Passwordを選んだ理由は、1Passwordの知名度と料金が安めだったこと、PCだけでなくiPhoneやiPadでも使いやすかったことからです。

1Passwordを使用すると1Password以外のパスワードは忘れて大丈夫になります。また、iPhoneなど顔や指の生体認証がある端末ではパスワード入力は最初の認証時を除いて不必要となります。

マスターパスワード

数多くのパスワーを管理してくれるパスワードマネージャーですが、１Passwordのロックを解除するマスターパスワードは覚えておく必要があります。マスターパスワードは強度の高い文字列である必要はあるもののこれだけ解析されたとしても1Passwordにログインできるわけではありません。1Passwordを使用するには端末の設定と、初回利用時に別のIDや文字列などたくさんの認証情報を設定しないとログインができないからです。

iMacなど生体認証機能がない端末では、比較的多くマスターパスワードを打つ必要があります。そのため、あまりにキーボードで打ちにくいものを設定すると不便なところがあります。設定時は強度が弱くてはダメですがキータッチも考慮しおいた方が良いです。

パスワードのおすすめと生成機能

パスワード管理していないサービスでパスワード入力欄がある場合、1Passwordがおすすめのパスワードを表示してくれます。chromeやsafariにもある機能で目新しさはないかもしれませんが変わらず便利です。

もちろん、自身でパスワード生成ルールを変更して入力も可能です。ウェブ上のパスワード生成ツールはどこか怖いところがあるため、ランダムな文字列が欲しい時に気軽に使用できます。

ただし、このおすすめのパスワードは強固に作られるためウェブサイトによってはそのまま使用できないこともあります。日本の大手のサービスでは受け付けてくれないところが多い印象です。そういう時は強度を緩めて生成する必要があります。

住所やクレジットカード、セキュアノート

パスワードの他にも住所やクレジットカードなど、安易に公開できないが入力する機会の多い情報を管理できます。また、他にも忘れては困るけれど紙に書いておくのは紛失が怖いような情報もメモやノートとして保存できます。

普段ほとんど接続しないけれど不意に使いたいFTPのパスワードやsshのパスワード、でも使いたい時は忘れている。。。そんなものをわたしはメモと一緒にまとめています。

1Passwordのデメリット

パスワードを使用するデバイスを増やす際、初期の設定は大変です。これはセキュリティ的にありがたいことではありますが、使用するデバイスが多いと最初は大変です。QRコードが読み取れるカメラの有無で手間は結構変わります。

また、一度使用すると安易に止められません。年払いで4,000円程度の長いおつきあいになります。そのため本格的に使用する前にDashlaneなど競合するアプリも使用してみて自分の使用しているデバイス群で一番使いやすいものを選択する必要があります。

そして、人間が簡易に入力できることを考慮しない強固なパスワードは、パスワードマネージャーが使用できる環境でのみ便利です。例えば1Passwordが使用できないデバイスでログインを求められると恐ろしく面倒なことになります。VRヘッドセットとか。

個人的には1Passwordなど何かしらパスワードマネージャーは使った方が良いと力強くいえるものの、そうはいってもデメリットもあるため無料期間中に使い倒して使用感を確かめることをお勧めします。

GoogleやGithubに任せてしまう

IT系のサービスだとGoogleかGithubのアカウントがあれば使用できるものも多くなりました。メールアドレスとパスワードで管理するサービスを減らして、Googleなど二段階認証ありで使いやすいアカウントに機能を集約していくのも良いのかもしれません。

今回この記事を書こうと思ったのは、Googleから不正使用されたパスワードの警告メールが来たからです。対象は昔使用していたサービスばかりです。ただ、昔とはいえ名前や電話番号は長らく変わっていませんから、不正に情報を取得されるのは怖いものがあります。

登録だけして解約もせずに放置しているサービスが増えるとパスワードを使い回すリスクが増えてしまいます。最初から強固で推測されにくく、パスワードを使いまわさない仕組みを月300円くらいで入れておくのは良い手段なのではと思います。

わたしはこの答えに辿り着くのが遅かったのもあり、まだまだウェブ上に脆弱なパスワードを残してしまっています。思い出したものから順次強固なものに置き換えていってはいるものの、過去に設定したもの全部を対策するのは難しいだろうなという感想です。

パスワードマネージャーを使えば完全に安全というわけでもないでしょうが、それでも独自に管理するよりは安全だとは思います。パスワードを覚えておく、入力する手間からも開放されるので色々なサービスを使用されている方にはお勧めです。