アカウント(webサービスを利用するために登録したメールアドレスとサイトのパスワード)の大規模な漏えい事件がまた起きてしまいましたが…。
例えば、A社に設定したアカウントを、そのユーザーがB社のサービスにも同じく使用している場合、A社での漏えい事件は、使いまわしているユーザー自身にとっては、B社でも漏えいしたのと、ある意味で同じことになってしまいます。
なので、よく「パスワードを使いまわすな!」と言われます。
しかし、個別にパスワードを考えたり覚えたりするのは大変です。
ただ、作成パターンを工夫することで、パスワードをサイト別に簡単に使い分けられる、というのを何かで読みました。
覚えている範囲で再現してみます。
例えば架空のウェブサービス『nandaro.ne.jp』のログインパスワードを決めるとします。
1)パスワード前半は固定パターン
1.自分なりの覚えやすい数字を考える。
→ルールを決めて変形させる
1985年03月26日生まれ=26038519 など
2.固定の英文字を大文字小文字で加える。ここは個人情報そのものは避ける。
たとえば、あこがれの人が「田中次郎」さんだとして手掛かりにする。
→Tanaka Jirou→TNjr
☆ここまでで、26038519TNjr
2)パスワード後半は目的のサイト名から作成
1.サイトのドメインから、あるルールを決めて文字列を作る
例えば母音字(aiueo)を抜くなど。
nandaro.ne.jp
→nndr
2.パスワードに記号も使えるサイトなら、1文字でもいいから挟む。
例えば#など。
☆完成したパスワードは
26038519TNjr#nndr
同じルールで別の架空サイト
dondoko.ne.jp
のパスワードを作るとすると、
26038519TNjr#dndk
となります。
このように、半分は固定文字列でも、サイト名別に生成するパターンを組み合わせて考えれば、個別に暗記しなくても、強くて良いパスワードで、サイトごとに使い分けができますね。
今、記憶を頼りに書いてみても、なかなか良くできたアイデアだと思います。
もちろん、生成方法は自分なりにオリジナルにして、絶対に口外しないように……。
それから、パスワードはサイト別にしていても、漏えいしたメールアドレスにフィッシング詐欺目的などのトラブルメールが来ることもあり得ます。
できればwebサービスに使うメールアドレスはいざとなったら変えられるものにして、個人連絡用とは分けた方が良いでしょうね。
また、漏えいとは関係なく。利用しているサービスでの何らかの警告的なメールが来た時は、メール本文に書かれたURLを直にクリックせず、当該のサービスにログインしてアカウント設定などのページで改めて確かめた方がいい、と良く聞きます。
そういうメールでのURLが詐称されていることはよくあるので。
