パスワードの安全性については、様々な切り口からご紹介してきました。昨今は社内システムのクラウドサービス利用やテレワークへの対応などから使用するWebサービスも増え、個人でのID＆パスワード管理は大変なのではないかと思います。パスワードをメモ帳に記録しておくことでもリスクはあると思いますが、付箋にメモしてモニターに貼ったりするなどはもってのほかと言えます。
例えば、Windowsであれば、Azure ADと連携したSSO（シングルサインオン）利用というのは美しい解かもしれませんが、仮にSSOが対応しないサービスを使用している場合などは、パスワードマネージャを用いるのも一つの方法かもしれません。
そこで本シリーズでは、世の中にあるパスワードマネージャの特徴について解説します。第1回は「カスペルスキーパスワードマネージャ」についてです。

パスワード管理ソフト「カスペルスキー パスワードマネージャー」は、単なる安全なパスワード保管場所というではありません。便利な使い方もあります。
カスペルスキー パスワードマネージャーを知り、フル活用する方法、パスワードの強度を高める方法を知っておきましょう。

パスワードを検査する

カスペルスキー パスワードマネージャーは、パスワードの保存だけでなく、パスワードのチェックもできるのです。
異なるWebサイトで使い回されているパスワードがないかどうかのチェック、パスワードがどの程度ハッキングされやすいかの評価、漏洩したログインIDとパスワードの中にパスワードが含まれていないかどうかのチェックを行うことが可能です。

Webサービスは頻繁にハッキングの標的になりますが、ハッキングされて漏洩したログイン情報（ID、パスワード）は、何らかの形でサイバー犯罪者の手に渡ります。こういったログイン情報を保管する際は、ハッシュ化されているのが普通ですが、eメールのように人が読み取れるような形式（平文）で取り扱われることもあります。
その為、あるWebサイト用のパスワードが強力だったとしても、他のところで使い回しているとハッキングされるリスクは高まります。
同じパスワードを使っているWebサイトがハッキングされ、仮にログイン情報が流出してしまったら、パスワードを使いまわしている別のアカウントも不正にログインできるようになってしまいます。

カスペルスキー パスワードマネージャーでは、パスワードのうちどれか1つが漏洩した場合に通知するだけでなく、1つのパスワードを複数の場所で使っている場合にも通知をします。

また、パスワードが弱すぎる（短すぎる、または一般的すぎる、容易に推測される）為に解読される恐れがある場合にも、警告が表示されます。
カスペルスキー パスワードマネージャーのダッシュボードには、強度の低いパスワード、使い回されているパスワード、漏洩したパスワードの数が表示されます。詳細を見たいときは、［詳細］をクリックするか［パスワードチェック］に移動します。

図１：カスペルスキー パスワードマネージャーのダッシュボード（Windows版）

強度が低いと判定されたパスワードがある場合は、パスワードマネージャーに搭載のパスワード生成機能を使って、強度の高いパスワードをワンクリックで作成することも可能です。

パスワード生成機能で、パスワード強度を高める

前述のようにカスペルスキー パスワードマネージャーでは、サイバー犯罪者にとって解読が困難な、強度の高いパスワードを生成することもできます。
一般的に、強度の高いパスワードは無作為に文字を並べたものなので、非常に覚えにくいものですが、覚えなくても大丈夫なのがパスワードマネージャです。
パスワードはカスペルスキー パスワードマネージャーに記憶され、ログインのときに自動的に入力されます。

強度の高いパスワードを作成するには、以下の手順で設定します。

• カスペルスキー パスワードマネージャーを開き、［パスワード生成］に進む
• パスワード生成の画面では、パスワードの文字数と、使用可能な文字の種類を選択する
• パスワードの長さは、Webサイトによっては上限が設けられていることがありますが、基本的には12文字以上にする（長いほど強度が上がる）
• パスワードに使える文字もWebサイトによって異なる為、必要に応じて、パスワード作成に使用可能な文字の種類を選びます
  （例えば、英数字と記号を組み合わせたパスワードしか受け付けない場合や、記号を使えない場合がある）

パスワードマネージャーでパスワードを生成するようにしておけば、パスワードの重複を避けることができます。
Webサイトごとに作成した新しいパスワードは、カスペルスキー パスワードマネージャーにすべて記憶されるので、ログイン情報を自分で記憶しておく必要はありません。

但し、マスターパスワードは強力に！

もうお分かりだとは思いますが、パスワード管理ツールを使用するということは、全部の鍵を金庫一つに保管することと同じです。
したがって、その金庫を開ける鍵（この場合はマスターパスワード）は、ハッキングされにくいものでなければなりません。

強度の高いマスターパスワードの要件は、文字数が長いこと（10〜12文字以上、その2倍にするとなお良い）、推測しにくいこと、この2点です。
適切なマスターパスワードを作成する方法は、一般的にいって以下の3つがあります。

1. カスペルスキー パスワードマネージャーを使って文字を無作為に組み合わせたパスワードを生成し、暗記する
2. 強度が高く覚えやすいパスワードを作成するための記憶術を活用する
3. 単純な言葉を使いつつ、文字数をかなり長くする（例えば30文字くらい）

先日掲載した記事（日本人のパスワードランキング2020）も参考になるかもしれませんが、上記の「3.単純な言葉を使いつつ、文字数をかなり長くする」は最終手段と思っておくのが良いでしょう。以前は文字数の長さで補うことはできましたが、解読する側のコンピューティング性能が上昇していますし、AIなども用いて解読してきます。単純な言葉は覚えやすくて入力もしやすいですが、文字数の長さでは文字を無作為に組み合わせたものではない点を補うことができなくなりつつあります。

余談にはなりますが、デジタルアーツが発表した「パスワードに関する分析レポート」によれば、6桁の英小文字で構成されたパスワードの解読時間は1秒未満だったと報告されています。ちなみに8ケタの英小文字＋英大文字＋数字＋記号の組み合わせでも最長で55日13時間であったことから、マスターパスワードの設定には細心の注意を払いたいものです。

しかしながら、このマスターパスワード問題はカスペルスキー パスワードマネージャだけに限ったことではありません。他者の同様のサービスでもそうですし、SSOでも同様です。これについては、生体認証など他の認証方法と組み合わせて使うことで解消することが求められます。

まとめ

カスペルスキー パスワードマネージャーを使ってパスワードの強度を高める方法は、以下のとおりです。

• カスペルスキー パスワードマネージャーのマスターパスワードは、自分が覚えられる範囲でできるだけ強力なものにする。
• マスターパスワード以外のパスワードは、すべてカスペルスキー パスワードマネージャーのパスワード生成機能を使用して作成する。
  （これらのパスワードはカスペルスキー パスワードマネージャーにすべて記憶されるので、自分で覚えておく必要はありません。できるかぎり解読されにくいパスワードであることが重要です。）
• カスペルスキー パスワードマネージャーのダッシュボードで、強度の低いパスワード、重複するパスワード、漏洩したパスワードがないかどうかチェックし、該当するパスワードがあれば、すぐに変更する。
  （予防措置として行ってください。）
  ＞現在使用しているパスワードが漏洩していないか、チェック方法については以下の記事で詳しく紹介しています。参考にしてください。
  ＞関連記事：「パスワード漏洩のチェック方法4種類を解説！漏洩原因と事例も紹介」

本記事は、Kaspersky daily・ブログの内容を元に作成しております。
ソース：https://blog.kaspersky.co.jp/make-your-passwords-stronger-with-kaspersky-password-manager/31086/