パスワードの意味

ITに関わっている人間にとっては、一寸ビックリする話題。今でもIT管理者から支持される、パスワードの設定内容や変更期間が、実は意味が無かったと専門家が言っていると言う話。私は専門家ではないけれど、一寸誤解を招くタイトルかなと言う気はします。要するに、複数の文字種を組み合わせたしかし桁数の少ないパスワード文字列よりは、限定された(アルファベット)文字種仕様であっても、十分に桁数が長いパスワード文字列の方が破られない、と言う事だと思うんですよね。で、それは確かに正しいと思う。例えば40文字種の8桁のパスワードの組合せは40^8=約6.5兆(6.5*10^12)の組合せだけれど、記事にもあるように、文字数5文字の単語4つ使用すると、アルファベット26文字として26^20=約2溝(2*10^32)と桁違い所では無い違いが生まれますから。ただ、単語を使う場合、ある程度の文字数から残りの文字が推測出来る可能性もあるし、また無意味な単語を並べればまだしも、「文章」として成り立つような並べ方をすると、これも最初の単語で類推される危険性が有り、安全性はぐっと下がります。

問題なのは、やはり頻繁にパスワードを変更されることじゃ無いかと。72日毎とか90日毎とか毎に変更されると、ある程度使い続けて行くとマンネリ化してくるんですよね。最近では、直近に使用した例えば20個とか30個のパスワードは再度利用出来ないとか、マンネリ化を防ぐ対策が入っていることもあるけれど、十分に乱雑であれば、また二段階承認とかリトライ回数の制限(例えば5回以上失敗したらロックするとか)等を適用することで、そんなに頻繁に変更させなくても良いと思う。

文字数を長くする時に困るのは、システム側が何文字まで対応出来るか、それがケースバイケースであること。文字数が多くなれば、それだけメモリーも必要になるわけで、システムとしては12文字くらいなら我慢するけれど、20文字は勘弁してくれというかもしれない。極端な話し、漢字とか平仮名カタカナとか、日本語(DBCS)をパスフレーズとして受け入れるシステムがあれば、世界的にはかなり安全になるんじゃないだろうか。もっとも、その時には日本語で家族なり自分の名前を入れる人間が続出するだろうから、日本人ハッカーには格好の獲物になるかもしれないけれど。

さらに言えば、どんなに複雑で長いパスワードを設定していたとしても、ブラウザーにIDとペアで保存していたら、自動的にそのサイトにアクセス出来てしまうわけで、そうなるとそのシステムを使うためのセキュリティはどれだけ信頼性が高いのかという事が問題になります。そう言う意味で、私としては使用するデバイスに対してのセキュリティを厳密厳格にして、一旦デバイスを使い始めたら、そこから先はそのデバイスが自動認証するようにして欲しいなぁ。勿論、成りすましを防ぐために、一定時間使用されなかったら自動的にオフになるとか、デバイス側の対策も必要ですけれど。あと、パスワードを設定する理由に、公共のPCからアクセスするためとかもあったと思うけれど、どうだろうか、最近ではスマホもあるし以前ほどパプリックのPCに対しての要求は減ってきたように思うのだけれど。場合によっては、自分が認証しているスマホをデジタルキーにして、そのスマホとパブリックなPCが通信をして、自分の登録しているサイトにアクセス出来るようにするとかにしたら、いちいちキーボードからパスワードを入れるような手間も無くなるんじゃ無いだろうか。実際、ホテルのデジタルキーはBluetoothでスマホと部屋の鍵(ロック)が通信するわけですからね。「パスワード」という言葉も、そろそろ「パスデータ」とか「パスストリーム」とかに変えた方がユーザー意識も変わるのかもしれない。