【AIで突破されまくり！】 間違いだらけのパスワード管理 ｢使いまわし｣｢覚えやすい｣はNG 　"本丸を作って死守する"方法とは？

もし信頼の拠り所をGoogleにするとしたらChromeに30個のパスワードを覚えさせ、Googleのアカウントは多要素認証で固く守るという形にする。

現在はマイクロソフトもAppleも生体認証やUSBセキュリティキー、スマホの認証アプリなどいろいろな認証方法が使えるようになっています。ただしSMS認証は攻撃対象となっているので、他の方式を優先させたほうがよいでしょう。

自分の「本丸」を決めて死守する

――例えばExcelで利用しているサービスとパスワードの一覧を作り、クラウドに保存するのは危険ですか。

Excelであれ紙であれ、自分が登録しているサービスの台帳化は必要です。昔使ったサービスで情報漏洩が発生したが、そもそも自分が使っていたか覚えておらず、使い回していたパスワードも変えていなかった、という事態は避けなければなりません。

Excelの一覧表自体がダメなのではなく、それをどう守っているかがポイントです。紙のメモ帳と一緒で、ほかの人と共有してはいけません。パスワードが「secret」など単純なものもダメ。Microsoft 365でExcelを使っているのであれば、そこが多要素認証で守られている必要がある、ということです。

また、事故前提社会では、守るべき優先順位の整理も必要です。昔の城でいえば皆さんにとって死守すべき「本丸」はどこか。MicrosoftでもGoogleでも自分で決めたところでよいので、そこは多要素認証で固く守る。

多要素認証を使えないような時代遅れのサービスや自分にとって重要ではないサービスは二の丸、三の丸と位置付け、突破されても被害が限定される前提で管理する。現在のセキュリティはまさに自分の城が攻撃されるという意識を持ち、攻撃者からどう守るかを設計することが重要です。