2025年5月1日木曜日

今年の World Password Day は、2025年5月1日 (木)です。

World Password Day (世界パスワードの日)は、毎年5月の第1木曜日に制定された、強力で安全なパスワードを作成し、パスワード管理のベストプラクティスを啓発することを目的とした日です。

2013年に Intel Security (現McAfee) によって提唱され、パスワードの重要性に対する意識を高め、より安全なオンライン環境を促進するために設けられました。

World Password Day の目的

  • 強力なパスワードの作成を推奨する: 長さ、複雑さ、多様性を備えた推測されにくいパスワードの重要性を周知します。
  • パスワードの使い回しの危険性を啓発する: 複数のアカウントで同じパスワードを使用することのリスクを伝え、それぞれのアカウントに固有のパスワードを設定することを推奨します。
  • 多要素認証(MFA)の利用を推奨する: パスワードに加えて、追加の認証要素を設定することで、セキュリティを強化する方法を啓発します。
  • パスワード管理ツールの利用を促進する: パスワードマネージャーなどのツールを活用することで、安全かつ効率的なパスワード管理が可能になることを啓発します。
  • サイバーセキュリティ意識の向上: パスワードはオンラインセキュリティの基本的な要素であることを再認識させ、より安全なデジタル習慣を促します。

World Password Day は、個人だけでなく、企業や組織にとっても、セキュリティ対策を見直し、強化する良い機会となっています。この日を中心に、パスワードに関する情報発信や啓発活動が世界中で行われています。

今年の World Password Day は、2025年5月1日(木)です。

具体的なおすすめのパスワード運用管理

オンラインサービスのレビューをしているので、たくさんのパスワードを管理しています。過去の失敗の経験から、定説であっても違うんじゃないか?と感じるものもあります。

  • 強力なパスワードの作成を推奨する

    現実的なアカウント乗っ取りはフィッシング詐欺やウィルス、サービス側へのクラックが大半だと思いますが、固くしておくに越したことはない。

    ツールを利用すればいくらでも複雑なパスワードを生成できるものの、もっとも身近な危険は忘れるだと思う。

    • プレフィックスサフィックスは良くなかった。

      arinco-amazon など固定パスワードの先頭や末尾にサービス名を付ける方法。

      一時期ずっとやっていましたが、前に付けるのか後ろに付けるのか、サービス名をどのように表現するのかで悩むことが多くなったし思い出せないことも多かった。

    • 大文字と小文字を混ぜるのはやめたほうがいい。

      一般的には推奨されているし強制されることも多いのですが、パスワードを思い出すときに一番障壁になったのがこれだった。

      おそらく、違う文字として認識するのが難しいからだと思う。

    • 記号を混ぜるのは有効

      もっとも効果があると思う方法。ただし、a → @i → ! に置き換える手法は定番中の定番なので禁止。

      ランダムの場所に記号を 1 つ、できれば 2 つ入れておくと強力。

      なぜか、こちらは忘れにくかった。

    • パスワードの長さ。

      「長ければ長いほど良い」というのが大方の意見。特に NIST は「複雑さより長さ」の有効性を主張。

      判断は個人に委ねますが、自分は ZIP ファイルや USB メモリなどオフラインのものでなければブルートフォース攻撃や辞書攻撃は有効性に欠けるため、さほど長さは気にせず 10 桁程度で設定しています。

  • パスワードの使い回し

    恥ずかしながらやってます。重要でないアカウントも多いのが理由です。あとで変えようと思ってそのままのパターンも。危険なのは分かってますけどね、人間だもの(みつを)

  • 多要素認証

    設定しておけば上の 2 つは必要ないくらい強力。ハッカーが二段階認証にあたれば、即あきらめて他の手段を考えるでしょう。

    サービスをスマホで利用してそのスマホを要素とするとセキュリティ効果はだいぶ低くなるが、それでも固い。

    もっとも重要なのはデバイスにアクセスできなくなったときの復旧手段を確認しておくこと。復旧手段が用意されていないサービスへは利用すべきでない。

  • パスワード管理ツールを利用

    もはやこれ一択。アカウントが多くなると覚えきれない。

    KeePass Password Safe を使っていますが、他にも色々存在します。

    マスターパスワードは絶対に忘れないこと。セッションタイムアウトを設定しておくこと。

    経験から言うと、人間は忘れる。絶対に忘れる。「忘れるはずがない」と忘れるまでは思ってる。マスターパスワードは紙に書いて見つからない場所に保管しておくのがおすすめ。

  • サイバーセキュリティ意識の向上

    このサイトに来るのは「そんなの常識」「聞き飽きたよ」「昨日の夕飯を覚えていない」人たちばかりですが、スマホの普及でそうではない人たちも多くなっています。

    設定を頼まれたので「パスワードを決めて」と言ったら、もろ「よく使われるパスワード10選」。知ってる人と知らない人が両極端な感じです。

    「昨日の夕飯を覚えていない」人も、言われてみると気になるところがあるのではないでしょうか?このキャンペーンを機会に見直してみてはどうでしょう。