1. 長さと多様性から始める
長いパスワードほど総当たり攻撃を劇的に遅らせます。最低 14 文字を目安に、大文字・小文字・数字・記号を混在させましょう。「1234」や「password!」のような予測しやすい並び、P@ssw0rd のような単純な置き換えは避けてください。
複雑な文字列を覚えるのが難しい場合はパスフレーズが有効です。関連性のない単語をつなぎ、特殊文字や数字を意外な位置に入れましょう。例:「fog-Granite!24-galaxy」は覚えやすく、自動攻撃にも強い構造です。
2. 各サービスに固有のパスワードを
資格情報を使い回すと被害が一気に拡大します。攻撃者は漏えいしたパスワードを他のサイトでも即座に試します。アカウントごとに固有の組み合わせを作り、パスワードマネージャーに安全に保管しましょう。語呂合わせも役立ちますが、強力な暗号化で保護されたボールトが長期的には最善です。
3. 多要素認証で追加の防壁を築く
可能な限り MFA を有効にしましょう。時間ベースコード、ハードウェアキー、生体認証など第二要素があれば、パスワードが漏れてもログインされません。復旧コードはマネージャーに保存し、ログを監視して不審なアクセスを即座に察知します。
4. 強度を測り、漏えいを監視する
新しいパスワードを採用する前に、強度チェッカーで分析しましょう。繰り返しや予測しやすい並びなどの弱点が分かります。その後はボールトの漏えい監視や Have I Been Pwned などのサービスで露出を早期に察知してください。
5. ボールトを健全に保つ
近代的なパスワードマネージャーは全エントリを暗号化し、弱い/使い回しのパスワードを警告し、複数デバイスでの更新をスムーズにします。長いマスターパスフレーズで保護し、MFA を有効にし、既知の脆弱性を塞ぐため常に最新バージョンを利用しましょう。
ログアウト前のクイックチェック
- 最小文字数 14、複数の文字種を使用しているか。
- 同じパスワードを他サービスで再利用していないか。
- パスワードマネージャーに MFA を設定しているか。
- 強度チェッカーと漏えいアラートを定期的に活用しているか。
- サービスからセキュリティ事故が報告されたらすぐ更新しているか。
強力なパスワードはデジタル耐性の土台です。堅実な習慣、信頼できるツール、継続的な監視を組み合わせて攻撃者を寄せ付けず、すべてのデバイスでアイデンティティを守りましょう。