大半のガイドは、「fl1r7」等の覚えやすいはずの複雑な短いパスワードを作るか、あるいは、「ComplekspasswordsRsafer2011」等の長いパスワードを作るかのいずれかに焦点を絞っている。このタイプのパスワードの問題点は、現実的ではない点である。例えば、今日、3つ目の文字を数字に変える必要があることを覚えられたとしても、一週間後には、2つ目の文字だったのか、4つ目の文字だったのか分からなくなってしまう可能性がある。また、長いパスワードは1) (XKCDのランダル・マンロー氏には申し訳ないが)覚えにくく、2) 毎回入力するのが大変である。
つまり、パスワードを再び利用することこそが、パスワードのおける最大の脅威になってしまうのだ。同じパスワードを全てのサイトで利用していると、一つのアカウントが攻略されてしまうと、ほぼ全てのアカウントにアクセスされてしまう危険がある。これは非常に良くない習慣だが、多くのオンラインサービスが、プレーンテキスト、または、簡単な修正を加えるだけでパスワードを保存している。ここ数年間で、ユーザーのデータベースがハッカーの手に落ち、ネット上にリークされたサイトに関する報道が、幾度となく行われてきた。このような漏えいしたログインの詳細を手に入れると、ハッカーはすぐにこの情報を使ってその他のサービスのアカウントも攻略する。 従って、同じパスワードを多くのサイトで利用しているなら、そのうちの1つのサイトで情報がリークすると、その他の全てのサイトが危険に晒されてしまう。
そのため、1) 短くなく 2) 単純ではなく 3) 1つ目と2つ目のルールを違反しないように、入力しやすく 4) 利用するサイトでそれぞれ異なるワードを用いることが可能なパスワードが必要になる。この4つのルールを全て厳守するパスワードを作る方法は数多く存在する。「password123youtube」のようにパスワード内でサイトの名前を利用する方法は、幅広く利用されている。この方法を採用すると確かにサイトごとの異なるパスワードを作ることが出来るが、パスワードのパターンが見破られ、その他のサイトに適用されたら終わりである。そのため、5) 1-4のルールに従う上で、パターンを見破られても容易に推測することが出来ないパスワードを作る必要がある。
私自身、良いパスワードを作る試みに苦戦しているが、単純に人間はこの類の行為が苦手なのではないかと思うようになった。良質なパスワードを作るためには、適当な文字を長い文字列に変える必要がある。これは私達が苦手としている分野である。
最終的に私が行き着いたソリューションはLastPassである。LastPassはパスワード作成サービスである。このサービスは、全てのパスワードを管理し、また、非常に複雑なパスワードを作成するツールも用意している。また、LastPassに自動的にログイン情報を埋めさせる(タイプする必要はない)ブラウザ統合機能も提供している。さらに、モバイルプラットフォームとタブレットプラットフォーム用のアプリを提供している。その上、パスワードが必要であり、その他の方法で得ることが出来ない場合のためにウェブインタフェースを用意している。
LastPassを利用することで、決して記憶することが出来ない、入力するのが面倒な非常に複雑なパスワードを得ることが出来る。私はパスワードの長さをサイトによって変えているが、サイトが許す限り常に25文字のパスワードを作るようにしている。そのため、私が生きている間に、総当たり攻撃が、25文字以上のランダムな文字で構成された私のパスワードを解読するのは難しいだろう。
LastPassを利用する上での鍵は、ユーザーを認証する良質なパスワードを作ることだ。覚える必要があるのはこのパスワードのみであるため、優れたパスワードを用いる必要がある。弱いパスワードを作り、全ての強固なパスワードにアクセスされてしまうようでは、意味がない。
LastPassの代わりに利用することが可能なサービスはある。ただし、実際に使ったことがないので、推奨することは出来ない。頻繁に目にするサービスを幾つか紹介する:
