10分でできるアカウント防衛:2段階認証と長いパスフレーズの最低ライン
パスワード漏えい・使い回し・フィッシングは、個人でも仕事でも起きます。対策は山ほどありますが、最初にやるべきは「効果が大きい順」に絞ることです。
結論はシンプルで、①2段階認証(MFA)を入れる、②パスワードを“長いパスフレーズ”にする。この2つだけで、乗っ取りの現実的な確率を下げられます。
1. まず2段階認証(MFA)を入れる
MFAは、パスワードが漏れても「もう一段階」が必要になるため、不正ログインを大きく減らせます。CISA(米国の政府系組織)も、一般的な攻撃を防ぐ有効策としてMFAを強く推奨しています。
Googleアカウント:2段階認証をオンにする
- Googleアカウントの「セキュリティ」を開く
- 「2-Step Verification(2段階認証)」をオン
- 画面の案内に従い、認証手段を追加
Microsoftアカウント:2段階認証をオンにする
- Microsoftアカウントの「セキュリティ」にアクセス
- 「2段階認証」を有効化
- メール/電話/認証アプリなどを登録
2. 次にパスワードを“長さ優先”へ(複雑さより長さ)
短いパスワードや使い回しは危険です。ただ、ありがちな「記号を混ぜろ」より、“長いパスフレーズ”の方が実用的です。
NIST(米国標準技術研究所)のガイドラインでは、パスワードが単独要素(=パスワードだけ)で使われる場合、最低15文字を要求すべき、と整理されています。MFAの一部として使う場合でも最低8文字など、長さを重視しています。
パスフレーズの作り方(例)
- 単語を4〜5個つなげる(例:
coffee-train-summer-planet) - 自分だけが意味を持てる並びにする(ただし個人情報は入れない)
- 1サービス1パスワード(使い回し禁止)
3. 仕上げ:復旧手段(バックアップコード/予備)を用意する
MFAを入れると「端末紛失時に詰む」人が出ます。詰まないために、次を最低限やります。
- バックアップコードを保管(紙でも可。写真は避ける)
- 予備の認証手段(別メール、別端末、認証アプリ)を登録
4. 続けるためのチェックリスト(3分)
- 主要アカウント(Google/Microsoft/銀行/証券/ブログ管理)はMFAがONか
- パスワードは15文字以上のパスフレーズか
- バックアップコード/復旧手段は用意できているか
- 「身に覚えのない認証コード」が届いたら、放置せず確認する
まとめ
- MFA(2段階認証)は最優先で入れる
- パスワードは複雑さより“長さ”(パスフレーズ)に寄せる
- 復旧手段がないMFAは事故るので、バックアップを用意する
対策を増やす前に、まずこの2つ(MFA+長いパスフレーズ)を徹底してください。これが費用対効果の高い最低ラインです。
参考
- CISA:MFAの推奨と効果
- NIST SP 800-63B:パスワード長さの推奨
- Google:2段階認証の有効化手順
- Microsoft:2段階認証の有効化手順