1.暗記する
パスワードを暗記するだけ
インターネットからアクセスすることはできない
安全性は高い、利便性や可用性、コスト的にも問題ない
パスワードの量が多くなると、全てを暗記するのは現実的ではない
2.紙に記録する
紙に記載して保管する
紙の利用は公的機関は非推奨ではない
ネットに接続されていないため、
適切な保管方法と組み合わせるとリスクを減らす
コスト的にも問題ない、利便性や可用性が下がる
物理的に盗み出される可能性がある
付箋紙に書いてPC近辺に貼ることは厳禁
3.ファイルに記録する
電子ファイルのテキストファイルまたはExcelファイルで保管する
量的な対応には問題はないが
いったん他人がファイルにアクセスできてしまえば
パスワードが全て漏れてしまう
工夫すればある程度の対策になる
テキストファイルを暗号化する
アクセス制限を設定する(アクセスに一定の手順を必要とする)
4.Webブラウザに記憶させる
WebブラウザにはIDとパスワードの組み合わせを記録する機能がある
利便性や可用性、コスト的にも問題がない
ネットに接続されたデバイスやソフトウェアは必ず攻撃の対象になる
パスワードを保存する機能は、パスワード管理を目的としておらず、
利便性を高めることが目的でパスワード保護が目的ではない
対策として
Webブラウザを最新状態に保つ
セキュリティソフトウェアを併用する
二要素認証を利用する
5.パスワードマネジャーを利用する
Webブラウザのパスワードマネジャーの方がより安全
欠点としてコストがかかる場合がある
もう一つの欠点はマスターパスワードであり、これが単一障害点になる
マスターパスワードを忘れてしまうと、全てにアクセスできなくなる
マスターパスワードは絶対に漏えいしないようにする
回復キーや二要素認証、管理者支援で回避できる場合がある
パスワードマネジャーは機能が豊富なことが特長
作成、保管、漏えい評価の全ての機能を備えているものもある
パスワードマネジャーも万能ではなく、
Webブラウザに記憶させる場合と同じ対策が必要になる
6.二要素認証を利用する
パスワード自体が漏えいしたとしても二要素認証を設定していれば、
直ちにはアクセスできないからである
安全性が高まり、利便性や可用性も損なわない、がコストが掛かる
二要素認証も完全ではない
フィッシング攻撃、中間者攻撃、SIMスワップ攻撃を使うと、
二要素認証が突破される可能性があり、非常に危険である
7.パスキーを利用する
パスワード管理の問題から解放される
安全性は最高レベル、利便性や可用性も高い
ソリューションを導入するためにコストを掛る必要がある
フィッシング攻撃への耐性がどのソリューションと比べても高い
公開鍵暗号方式で秘密鍵は取り出しが難しい形で格納されている
サーバ側が侵害されても情報が漏洩しにくい
システム構築を前提としない場合
パスキーに対応していないWebサイトやサービスでは利用できない
デバイスを紛失した場合のバックアップ手段を用意する必要が生じる
8.まとめ
現実的には
パスワードマネジャーを利用し
強力なマスターパスワードを設定し
全てを暗記する