20年位前までは、英数8文字の共通パスワードで済んだ。
昔のBBS(死語、掲示板のこと)などのオンラインサービス、ECウェブサイト、パソコンや携帯のパスワード(以下、サービスという)は、ほぼ英数8文字のパスワードで許されてきた。それどころか、
- 大文字小文字は区別されず、記号の入力ができなかった
- 文字数も8文字が上限だった
このことから、英数字8文字のパスワードを使いまわしているのが普通だった。
英字だけ、数字だけのパスワードは認めないといったポリシーが散見される一方で、英字のみ数字のみに限るというサービスもあったので、共通パスワードは以下のようになっていた。
- 全て英小文字のみで合計8桁:xxxxxxxx
大文字を入力するのは面倒なので、全て小文字としていた。 - 英小文字と数字混在で合計8桁:xxx9xxxx
数字が必要な場合には、一文字だけ数字にしていた。4桁パスワードの場合もあったので4桁めを数字としていた。名前を英数字にもじったものを使う人もいた。
例:昭一という名前の場合、sho1 - 全て数字のみで合計4桁~8桁:12341234
全て数字の場合、電話番号は桁が足らない。生年月日だと桁は合うが、その当時でも危険とされエラーとされる場合があった。
社内サービスでは、会社外の他人にはバレにくく自分では確実に覚えている従業員番号の繰り返し。個人では、ATMの4桁数字の繰り返しなどにしていた。
一応これくらい用意しておけば、ほとんどのサービスには対応できていた。
しかし当時は、インターネットのメールアドレス、SNSアカウント、シングルサインオン SSO などは無かったので、パスワードを共通化したところで、IDは共通化できなかった。そのため、IDとパスワードの対をメモっておく必要があった。
最近は、英数8文字では許してもらえない場合が増えてきた。
時代が下がるにつれて、パスワードポリシーが強化されてきた。
大文字を混ぜろ、記号を混ぜろといったポリシーが増えてきた。なので
- xxx9xxX@ みたいな感じのパスワード
に共通化した。
8桁を超える場合には、桁数の制限を満たす範囲で、先頭から繰り返すのだが、一文字でも入力は減らしたいので、桁数制限に達したところで打ち切るようにした。
しかし入力時点では桁数が分からないサービスや、仕様変更して桁数を増やすサービスがたまにあって、桁数が8文字ではない場合には特に、メモが必須となってきた。
その一方で、強化される傾向に一切ついていこうとせず、大文字や記号をむしろエラーで弾く昔ながらのサービスも残っていたので、昔の緩いパスワードも併用する必要も残っている。だからやはりメモは必要なままだった。
数字のみのパスワードについては、ATM・クレカを除き、ほとんどなくなった。
しかし、かわりに数字のみのPINだとか検証番号だとかといった、親切なのか危険なのかよく分からぬ緩いパスワードの概念が登場したので、英数字8桁だけでも用が足せず、数字のみ4~6桁という派生パスワードの運用も再び復活した。
LINEPAYとかは数字6桁だったり、4の倍数でもないので中途半端であり覚えづらい...
ということで、これにもメモが必須となった。
共通パスワードは止めろと言うが、できるはずがない。
このように過去のサービスや、中途半端で不統一なパスワードポリシーが残る中で、もう一方のキーであるIDの方も相変わらず永久に統一できそうもないので、共通パスワードを止めろ、といわれてもできない。
しかし
- サービスごとの固有のIDは、記憶しておくことはできない
メアドなど共通のIDで利用できるサービスはメアドで共通化できるが、それ以外は個別管理となる - サービスごとに違うパスワードを使い分けるほどの記憶力や気力がない
のでむしろ、手許のメモは肥大・複雑化する傾向にある。
- サービスごとに、正確なIDと、パスワード体系をメモしておかねばならない
- しかしパスワードそのものをIDとセットでメモるのは抵抗があるので、パスワード体系のほうをメモるしかない
このサービスは、英数8桁記号ありだとかメモっておく。
日経パソコンか何かで、英数記号混在の長い共通パスワードを考えたという例があったが、そのような長く強固なパスワードは、逆に受け付けてくれないサイトもかなり多いと分かっているので、ほぼ使い物にならない。
以上のことから、パスワード入力先のサービスを幾つかのカテゴリに分けた上で、通りやすい短めの共通パスワードを何種類か考えて、なるべく共通化を図ることとしている。
サービスのカテゴリとID/パスワード使いまわしの考え方
統一パスワードなど不可能です。使いまわそう。
但し、多少は気を付けて使い分けくらいはしよう。
怪しげなゲームサイトなど、運営者の機密保持力が信用ならないサービス
- Google、Facebook、Twitterなどでソーシャルログイン(OAuthログイン)ができる場合を除いて近寄らない。会員登録しない。
- ソーシャルログインは、連携元サイトのIDを使いまわしているが、パスワード自体は怪しげなサービス側に渡されないような仕様であるため。
- 怪しげなサービスに直接、IDやパスワードを登録する仕組みの場合、共通IDや共通パスワードが漏洩したら面倒なことになるので、ソーシャルログインできない場合には利用しない。
- そのような低レベルなサービスを提供する会社の会員管理システムや従業員は信用できない。反社と思うくらいでちょうどよい。
- ソーシャルログインで使う場合には、実名・実生活と紐づかない Twitter の捨てアカウントで利用するのが良い。
運営者の機密保持力は一応信用でき、お金を扱わないサービス
- ソーシャルログインができる場合には、なるべくそれで登録する。
出来ない場合には、共通の捨てパスワードで利用する。 -
共通の捨てパスワードは、英数字混在のものとする。
但しこれまでに説明のとおり、英数字混在程度では許されないサービスもある。
この場合には、仕方ないので、本命パスワードで登録する。 - たとえ漏洩してもリアル生活上で困ることはない。IDがそのサービスに固有の体系の場合には、漏洩しても他への影響はない。
- IDがメアド(メールアドレス)など共通の場合には注意が必要で、漏洩すると横並びで他も無防備になるので。
- 本当に漏洩した場合には、普通は漏洩してスミマセンメールが来るので、今でも利用しているサービスについてはパスワードを変更する。
お金を扱うサービス
- 多要素認証は有効にする
- ワンタイムパスワード発行器(SecureID)など、あえてインターネット上で完結させないタイプのものが望ましい
- ID(口座番号など)がサービスごとに別々の体系なので、ログインのパスワードは共通化しても構わないが、捨てパスワードとは別の強固なパスワード(本命パスワード)で共通化すること
- 二要素認証にすらなっていないサービス、パスワードの入力桁数が短すぎるサービスには、少額のお金しか入れないようにすること
パスワードポリシーがサービスごとに異なるために、何度もパスワードを見直すはめになった苦労話
英数8文字の共通パスワードが破綻していった過程を実例で示す。
ぼくがかんがえたさいきょうの本命パスワード(ただし8桁)については、考えてはあるのだが、すでに100以上のアカウントがあってやる気が起きないので、そのうちやります。
Windows(個人PC)
自宅の個人PCなので、強制されるポリシーもなく、共通パスワードはゆるゆるで済ませてきた。Windows 95 から Windos 10 まで、ほとんど変更せずに同じパスワードを使いまわしている。
- 8文字の英数パスワード
シンプルな古来伝統の8文字パスワードで済ませていた。余裕でしたな!
最近の Windows は、アカウントを Microsoft アカウント(メールアドレス)で登録できるので、IDについても新たに考える必要はなくなっており、その点も進化した。
Windows(会社PC)
会社PCでは、同じ Windows であっても、アカウント自体が異なっている。
パスワードポリシーも設定されており、自宅PCのようにゆるゆるではない。
英大文字を含む必要はないが、少なくとも記号を含む必要があり、10桁が必要とされている。したがって以下のように考えた。
しかし会社のウザいところは、90日おきにパスワードを変更する運用になっており、過去10回位のパスワードは再利用できないという点である。
その場合には、どうするかというと、以下の2つがある。
- 英小文字のどれかを大文字にする。90日経ったら、その文字を小文字に戻し、次の英小文字を大文字にする。この繰り返しで英大文字をグルグルとローテーションさせる。それでも過去履歴と重複した場合には、2文字を大文字にする。
- 11回連続でパスワードを変更して、同じパスワードに戻す。
いずれにしても、一定期間で変更を強制されるのは、かなりうざい。
キャッシュに保存された過去パスワードのせいで、よくトラブルにもなるし、百害あって一利なし。
Amazon、マインクラフト、twitter、netprint、Scratch、JR東日本View's NET、JR東日本えきねっと、IIJmioサービス、j-west jr西日本、T CARD
英数字混在8桁で十分であり、Windows(個人PC)と同じ捨てパスワードで大丈夫だった。
しかしIDのほうは、ほぼ全滅に違い状態で、メモが必須。
Amazon、マインクラフトはメアドをIDにできたが、twitter、netprint は ID を別に考える必要があった。その他に至っては、サービス側で一方的に決められたIDを使うしかない。
iPhone、iPad など Apple ID が前提のスマートデバイス
数字の入力は簡単だったが、英文字の入力となると面倒で、記号混在ともなれば入力するのも嫌だったガラケーの時代は終わった。スマートフォンでは、記号の入力も簡単になり、それに伴ってパスワードポリシーも強化された。
昔使っていた iPhone や iPad の Apple ID では、大文字小文字・記号が必須だった。
つまり、英数字混在8桁や、英数字混在だが大文字は含まないパスワードでは受け付けられなかった。
そのため、記号に加えて英大文字も混ぜた8文字パスワードを考えざるを得なくなった。
IDは、Apple にとっては心外かもしれないが、Microsoft アカウントに紐づいたメアドで登録したので増えてはいない。
Evernote
8文字で構わないが、大文字が必要なので、AppleID と同じポリシー。
Android スマートフォン(BYOD)のパスコード
現在使っているのは Android の SIMフリースマホであり、個人携帯なのだが、会社のゼロトラスト・セキュリティの2段階認証でも使っているので、会社のパスワードポリシーが強制されている。そのルールでは残念ながら:
- 10文字以上
ああ...今まで8文字だったけど、また2文字増やさないと...
最近は生体認証が可能になったので、だいぶ楽にはなったが、48時間以上経過すると、文字でのパスワードを要求されるのがうざい。
ここまでで、すでに4種類のパスワードが生まれてしまっているが。
iPad(BYOD)のパスコード
社のゼロトラスト・セキュリティの2段階認証でも使っているので、会社のパスワードポリシーが強制されている。
48時間、利用していない場合に自動的にログアウトされ、再認証が必要となる。
しかも再認証の場合には、指紋認証が許されず、パスコード入力が求められる。
幸いにして、英数字混在のポリシーだったので、Android スマートフォンと同じでパスワードで済ませることができた。
Zoom
Apple ID とほぼ同じポリシーのようだ。8文字以上なので、同じでよさそうだ。
- 8文字以上、数字1つ以上、文字1つ以上
- 大文字と小文字の両方
マイナンバー
署名用電子証明書パスワード、券面事項入力補助用パスワード、公的個人認証利用者証明用パスワードの3種類があるが、はっきりいって違いはよく分からない。
物理的カードとの併用だからか、パスワードはゆるゆるとなっている。
タカショー・プレミアム優待倶楽部
株主番号となっている。メモ必須。株主番号をIDにするなと何度言えば(略
ふるなび
手元のメモでは、英数字記号で、9文字となっている。
半角英字、半角数字、半角-#?@[]_=$をそれぞれ1文字以上含み、9文字以上
8文字でもさほど変わらんだろ!考えろ!