先日、SNSで「パスワードを付箋に書いた方が安全」という意見を見かけました。
以前は、「パスワードは、頭の中に記憶して、どこにも書かないのが安全」という考え方が一般的で、「パスワードを付箋に書いてパソコンに貼るなんて最悪だ」と考えるかもしれません。
しかし、場合によっては、パスワードを付箋に書く方が「まだマシ」なこともあります。
1. 前提は「サイバー攻撃」
この意見の主旨は、「オンラインからの攻撃」に限定した話。
簡単なパスワードを頭で覚えているより、複雑なパスワードを物理的にメモしておく方が安全だという話です。
ここで重要なのは「サイバー攻撃に対しては」という条件。
すべての脅威に対して安全だと言っているわけではないので、この点を見落とすと、話がおかしくなります。
1.1. なぜ付箋の方が強いのか?
危険度を比べるために、ハッカーがどうやってパスワードを破るか考えてみましょう。
- 代表的な方法は「ブルートフォース攻撃」です。
これは片っ端から文字の組み合わせを試していく力技1。 - それから「辞書攻撃」。
よく使われる単語や数字の組み合わせを集めたリストを使って、順番に試していきます。 - もう一つ厄介なのが「クレデンシャルスタッフィング」。
過去に流出したパスワードのリストを使って、いろんなサービスで試してみる手法です2。
パスワードを使い回している人が狙われます。
これらの攻撃に共通するのは、「よくあるパスワード」から順に試すということ。
攻撃者は効率を求めるので、まず「password123」とか「qwerty」みたいな簡単なものを試します。
1.2. 複雑さが生む圧倒的な差
では、パスワードの強度にどれくらい差があるのでしょうか。
「password123」のような簡単なパスワードは、攻撃プログラムなら数秒から数分で突破できます3。
辞書に載っているような単語だから、すぐに見つかってしまう。
一方で「K#9mT$2xP@7wL!5q」みたいな複雑なパスワードはどうか。
大文字、小文字、数字、記号をランダムに組み合わせた16文字。
これを総当たりで破ろうとすると、現実的な時間では不可能なレベルになります。
ここで重要な条件は、オンラインの攻撃者はあなたの付箋を見られないということ。
物理的にあなたの部屋に侵入できない限り、その複雑なパスワードを知る手段がない。
サイバー攻撃は画面の向こう側から行われます。
だから物理的な情報は守られる。
2. この理屈が成り立つ条件
ただし、この主張には条件があります。
付箋パスワードが機能するのは、物理的な侵入リスクが極めて低い場所だけです4。
たとえば、自宅で一人暮らしなら、他人が部屋に入ってくる機会はほとんどありません。
実家でも家族しか入らない自分の部屋なら、リスクは低い。
でも、これがオフィスだったらどうでしょう。
清掃員が夜に入ってきますし、同僚がふらっとデスクに立ち寄ることもある。
来客があれば、さらに多くの人の目にさらされます。
カフェや図書館で作業するなら、もう論外ですよね。
席を離れた隙に誰かが見るかもしれない。
2.1. 比較対象が「よくあるパスワード」であること
この主張のもう一つの前提は、比較相手が「最悪の選択肢」だということ。
簡単で推測されやすいパスワードを記憶する。
また、そのパスワードをさまざまなサービスで使い回す。
これは本当に危険です。
もし、複雑なパスワードを使い分けられるなら、付箋より記憶の方が安全。
しかし、最近は多くのウェブサービスでパスワードを登録する機会があるため、現実的には困難です。
つまり、この主張は「記憶可能な範囲で弱いパスワードを使うくらいなら、複雑なパスワードを書いておく方がマシ」という話なんです。
2.2. 脅威がサイバー攻撃に限定される場合
付箋に目立つところに書くよりは、ノートに書いて安全の場所に保管しておく方がより安全です。
記憶 < 付箋 << ノートを保管
というのも、この主張は「脅威モデルを限定」しているからです。
脅威モデルというのは、「どんな攻撃を想定するか」という話。
オンラインからの攻撃だけを考えるなら、付箋は有効。
でも、内部犯行や物理的な侵入も考慮すれば、付箋はダメです。
つまり、職場で機密情報を扱う人、盗難リスクのある環境で作業する人には適用できません。
「誰にいうか」によって、妥当かそうでないかが変わるわけです。
3. セキュリティ強化の階段における位置
では、「付箋パスワード方式」は、セキュリティ対策の中では、かなり初歩的な位置づけだと言えます。
3.1. レベル1:付箋メモから始める
付箋方式付箋方式の意義は、「簡単なパスワードの記憶」という最悪の選択から脱却すること。
オンライン攻撃への耐性を確保する。
でも限界も明確です。
人をだまして情報を得る手法(ソーシャルエンジニアリング)や物理的に盗むような攻撃には全くの無防備。
肩越しに覗かれたらアウトですし、写真に撮られてしまう可能性もある。
つまり、とにかく簡単なパスワードを使うのをやめる。
そのための第一歩なら意味があります。
3.2. レベル2:パスワードマネージャーへ
次の段階は、パスワードマネージャーの導入です。
パスワードマネージャーは、複雑なパスワードを記憶してくれるツール。
最近はブラウザの標準的な機能にもなっています5。
これの良いところは、付箋のセキュリティリスクを解消しつつ、複雑なパスワードを使い続けられること6。
マスターパスワード一つだけ覚えておけば、他は全部ツールが管理してくれます。
もちろん、マスターパスワードは複雑で推測されにくいものにする必要があります。
でも、一つだけなら記憶しやすいですよね。
3.3. レベル3:二要素認証を追加する
さらに強固にするなら、二要素認証(2FA)です。
これは、パスワードに加えて別の認証要素を要求する仕組み。
スマホに送られてくる認証コードとか、専用アプリで生成されるワンタイムパスワードとか。
二要素認証のすごいところは、万が一パスワードが漏れても、それだけでは突破できないということ。
攻撃者はあなたのスマホや物理デバイスも必要になる。
これで物理的な要素とデジタルな要素を組み合わせた、かなり強固な防御になります。
3.4. レベル4:パスキーやハードウェアキーへ
その上にあるのが、パスキーやハードウェアセキュリティキーの利用です。
パスキーは比較的新しい技術で、パスワード自体を不要にする仕組み。
指紋認証や顔認証と組み合わせて使います。
フィッシング(偽サイトでパスワードを盗む手法)に対しても強い。
ハードウェアキーは、YubiKeyみたいな物理的なデバイス。
USBポートに挿したり、NFCでかざしたりして認証します。
これらの方式なら、パスワードという概念自体から脱却できます。
4. 付箋は通過点であって、目的地ではない
最初の問いに戻りましょう。
「複雑なパスワードを付箋に書く方が、簡単なパスワードを記憶するより安全」
これは、ある条件下では正しいです。
でも、それは「最終的な答え」ではありません。
付箋方式は、「最悪の慣行からの脱却」という意味では価値があります。
実際、多くの人が「password123」みたいな危険なパスワードを使い続けています。
それをやめるきっかけとして、まず複雑なパスワードを生成して書き留める。
これは悪くない一歩目。
でも、そこで止まっていてはいけない。
次はパスワードマネージャーへ移行する。
できれば二要素認証も設定する。
セキュリティは、一度設定したら終わりじゃなくて、段階的に強化していくものなんですね。
この極端な話は、「簡単なパスワードは危険だ」という気づきを促すことに意義があります。
啓発として有効だけど、そのまま鵜呑みにするべきではない。
ちょっと逆説的な主張だからこそ、人の注意を引きます。
そして考えるきっかけになる。
「パスワードって、どう管理すればいいんだろう」って。
- ブルートフォース攻撃では、4桁のPINは1分以下、6文字なら1時間程度、8文字で文字と記号を組み合わせれば数日で解読されるとされています – ブルートフォース攻撃と辞書攻撃
- トレンドマイクロの調査によれば、パスワードを重複して使い回しているユーザーが90%を超えているという実態が報告されています – あなたの会社のセキュリティ対策は大丈夫!?
- 「123456」や「password」などの単純なパスワードを設定した場合、短時間で認証を突破されるリスクが高まります – ブルートフォース攻撃とは?
- 付箋に書いてパソコンに貼ったり、デスクマットにメモを挟んで置いたりするのは漏洩リスクがあるため避けるべきとされています – 安全なパスワードの作成及び設定方法
- 1PasswordはIBMやSlackなど150,000社以上の企業で採用されており、Bitwardenは無料版でも基本機能が充実しているオープンソースのツールとして知られています – パスワード管理アプリおすすめ10選
- ほとんどのパスワード管理アプリは「ゼロナレッジ暗号化方式」を採用しており、運営側でもユーザーのデータを閲覧できません – パスワード管理アプリおすすめ8選