どこまでやってたらパスワードを管理しています、と言えるでしょうか。パスワード管理していました、と言わないといけないシチュエーションによるかも知れません。
ここでは仮に「クレジットカードが不正利用された」場合に十分な認証管理をしていたかを申告しないといけない場面を想定します。※気づいたときに(少なくとも初月の請求で)報告することが前提になると思われます。
- パスワードマネージャを使う(管理方法)
- 適切な長さ・複雑さを備えたパスワードを使う(パスワードポリシー)
OneNoteやExcelでパスワードをつけて管理する、というのは最低ラインでしょうか。
最近は、複雑過ぎるパスワードを設定するのはパスワードリセットの回数が増えたり、忘れないようにあちらこちらにメモするような不適切な行動につながるため、かえって良くないと言われています。
また、桁数や文字種類はサービス側のパスワードポリシーで決まっています。
そういったことを踏まえると個々人で設定すべきパスワードポリシーはこんな感じじゃないでしょうか。
- 自分だけがわかる言葉の組み合わせを使う
- SNS等で公開している情報を使わない
- 可能な限り12文字以上で記号を入れる
>Bitwardenを使ってみる