最近は Google 以外のサイトのパスワードを一切覚えないという運用を試しています。つまり
head /dev/random| shasum | base64
のように完全ランダムで生成してパスワードを設定し、ブラウザ (Chrome) に覚えさせてログインします。
SHA1 の Base64 で 61 文字のパスワードになります。ときどきパスワードの全長に制限をかけているクソサイトとかがあるので、そういうときは適当にぶった切ります。まぁとにかく保存するのでなんでもいいんです。アカウント復旧に必要なメールのパスワード強度より強くしても無駄です。
パスワードが保存されず、セッションが切れた場合
ときどき Chrome でちゃんとパスワードが保存されないことがあります。これでセッションが切れるとどうにもなりません。
こういうときは諦めて毎回パスワード再発行をします。だいたいの場合メールがきてすぐ再設定できるので「パスワードを忘れるリスク」はパスワードが簡単でハックされるリスクよりもかなり低いのです。
これはつまりメールのパスワードが全体のセキュリティを決めます。gmail など信用できるサービスで2要素認証を使うなどしてここをとにかく強くしておきます。
スマフォアプリ
この方法だとスマフォのネイティブアプリでパスワードを入力する際に困ったことになります。そもそもネイティブアプリでパスワードを入力させるのとかクソだと思いますが (ブラウザに飛ばして戻ってくるように設計するのが正しいと思う)、それはともかく現実的に困ります。
解決方法はあって、Google Chrome で保存したパスワードは、実はブラウザ上からすべて見ることができるようになっていますので、これを使います。
大変わかりやすいドメインでありがたいですね。Google のパスワードさえ覚えていれば、保存済みの全てのサイトのパスワードを閲覧することができるという破滅的ページとなっています。
とにかく、ここで表示するアイコンを押してコピーすればどこにでも入力できます。
良い点
Google アカウントは万が一それ自身のパスワードを忘れた場合の復旧手順や、2要素認証の方法を失った場合の復旧手順がしっかりしています。BAN されない限りはかなり強力なバックアップです。
悪い点
ウェブサイトがないサービスのパスワードは覚えることができません。
Google に完全に依存します。Google なしで他のサイトにログインすることができなくなります。一番こわいのは BAN されて復旧できないことなので品行方正に生きていきましょう。まじで詰みます。
