プロが推奨する第一のテクニックは、パスワードに個人資訊を一切含めないことです。生年月日、住所、ペットの名前、好きなスポーツチームなど、SNSから推測可能な情報はすべて避けるべきです。パスワード生成ツールで作った完全にランダムな文字列が最も安全です。個人情報を鍵にしないことが原則です。推測困難な文字列を心がけましょう。
二要素認証(2FA)をパスワードと併用することも必須です。たとえパスワードが漏洩しても、2FAがあれば不正アクセスを防げます。SMS認証よりは、TOTPアプリ(Google Authenticatorなど)やハードウェアキーの方が安全性が高いです。必ず2FAを設定しましょう。パスワードだけに頼らない多層防御が現代のセキュリティでは不可欠です。
定期的なパスワードの変更は、NISTの最新ガイドラインでは必ずしも推奨されていません。変更の頻度よりも、各サービスでユニークで強力なパスワードを使用することの方が重要です。ただし、漏洩が疑われる場合は直ちに変更してください。ツールで新しいパスワードを素早く生成できます。漏洩時の迅速な対応が被害を最小限に抑えます。 セキュリティは日々進化しています。最新のベストプラクティスを常に確認しましょう。