10.jpg

コラム

パスワードの作り方

Posted by GRCS | 2020/03/04 15:08:12

~「忘れないor忘れにくいもの」は何か?~

セキュリティ・エグゼクティブ・ディレクター 中島浩光

 

 

これまでいろいろコラムを書いてはいるのですが、「パスワードの話は書いてこなかったなぁ」とふと思ったので、今回はパスワードについてちょっと思う事を書いてみようと思うのです。

 

 

<なぜ、パスワードがこれほど多用されるのか?>

さて、パスワード(数字だけの暗証番号/パスコードも含む)の話をするにあたって、避けて通れないのが、パスワードに紐づくID/アカウントです。

みなさん、通常の生活でID/アカウントをいくつ使っていますか?

 

日常生活だけでも、

  • 各種SNSID
  • ネットショッピングのID
  • ニュースサイトのID
  • インターネットバンキングのID
  • 携帯に紐づいたID
  • 自宅のWifiID
  • その他いろいろ

と現状、いろんなIDを使っているかと思います。これらのIDに大体は「パスワード」が紐づいていたりします。

日常生活だけでもこれだけですので、会社勤めで会社のシステムのID/パスワードなど含めていくと、結構な数のID/パスワードを利用しているはずです。

本人確認の方法としては、指紋認証とかワンタイムパスワードとかいろいろあるのですが、なぜ、これほどパスワードが多用されているのでしょうか?

 

はっきり言うと、「導入コストが安い」からなんです。

 

サーバOSとかWebサーバとか、そのあたりの業務用パッケージなんかもそうですが、ID/パスワードの仕組みって、OS/ソフトにすでに組み込まれているんですよね。なので、これを使うのが一番導入コストがかからない。

指紋認証やワンタイムパスワードとか違う本人確認の方法を使おうとすると、追加の機器やソフト等の導入といった追加コストがかかる。

また、明示的に「パスワードNG」といったような規制がないのであれば、追加コストは払いたくない、という理由だったりします。

まあ、この姿勢が良いか悪いかは別として、パスワードは手軽に簡単に導入できる本人確認の方法であることは確かなのです。

 

 

<パスワードの問題>

そして、パスワードが多用されるという現実は、利用者側、運用側に問題を起こします。

前述のとおり、多数のID/パスワードが利用されており、利用者側で、「パスワードをたくさん記憶しておかなければならない」という負担があります。

とはいえ、ドイツの心理学者であるエビングハウスが忘却曲線実験で示したように「人間は忘れる動物である」なので、パスワード忘れは起こるのです。

そして、パスワード忘れが多発するとそれへの対応が運用側に問題を起こすのです。

そして、パスワード忘れによる利便性の低下を恐れた結果、パスワードの強度の低下の許容(最小文字数の撤廃等)、都度パスワード入力の省略(ブラウザへのパスワードの記憶)等による、全体的なセキュリティ強度の低下が起こることになるのです。

それでも、最近はいろいろ追加対策をすることで、セキュリティ強度の維持・向上をしている部分はあるのですが、「パスワードを忘れる」という部分への解はセキュリティ業界的にされているのかは怪しいものがあります。

 

 

<「忘れないor忘れにくいもの」は何か?>

「人間は忘れる動物である」と書きましたが、パスワードについては「強度の高いパスワードを忘れなければよい」というのも事実だったりします。

では、「忘れないor忘れにくいもの」というのはあるのか?というと、あったりします。

ということで、「忘れないor忘れにくいもの」である程度文字種・文字数を稼げるものであれば、パスワードには最適になるはずなのです。

つまり、「忘れないor忘れにくいもの」としては以下のようなものがあるはずなのです。

 

  1. 繰り返して、日常的に何度も何度も思い出すor使用する文字列やパターン

    一般的な記憶術として、漢字の書き取りや、英単語を何度も口に出して言う、赤シートを使っての暗記の確認など、繰り返すことにより、記憶は強化されます。
    携帯のロック画面解除のパスコードなんかだと、多少長くても何度も使っていると忘れることはあまりないと思います。
    ということで、実はランダムな文字列であっても、それを日常的に繰り返し使用していると忘れなくなったりします。
    同じような方法で、文字列ではないですが、パターンも記憶することが可能です。


  2. 好きな事/興味のある事に関する事象の文字列

    人間、好きな事や興味のある事に対しては、忘れにくい傾向があるはずなのです。
    家族、恋人、趣味に関係する情報って忘れにくいはずなんです。
    例えば、家族や恋人の誕生日とか。好きなスポーツ選手がいた場合なら所属チーム名と背番号であったり、鉄道が好きな人であれば車両の型番とか。
    ただ、家族や恋人の誕生日とかは「推測しやすい」とかの理由で避けた方が良いと言われているので、もし、あまり人に言っていない「秘密の趣味」がある方は、その方面で文字列を作ると良いでしょう。


  3. 無意味ではない文字列

    「リヤカー無きK村、動力借るとするも、くれない馬力」って高校の化学で憶えませんでしたか?他にも、「いい国つくろう鎌倉幕府」とか(ちなみに、今は「いい箱つくろう鎌倉幕府」に変わってますのでお気を付けください)の、本来意味のないものの羅列に対して、語呂合わせで意味を付けることによって、覚えやすくする手法です。
    で、こうして意味を付けると、覚えやすく、かつ、忘れにくくなります。

 

ということで、1,2,3を上手く組み合わせると、いわゆる「良いパスワード」を簡単に作れて、忘れにくくすることは可能です。というか、少なくとも私はこれを実践しています。

 

気になる方はぜひ試してみてください。こういったやり方は「知っている」だけではなく、「訓練/練習して」初めて身につくようになるので。

 

 

 

Topics: コラム

Written by GRCS

コラム一覧