セキュリティ・エグゼクティブ・ディレクター 中島浩光
これまでいろいろコラムを書いてはいるのですが、「パスワードの話は書いてこなかったなぁ」とふと思ったので、今回はパスワードについてちょっと思う事を書いてみようと思うのです。
さて、パスワード(数字だけの暗証番号/パスコードも含む)の話をするにあたって、避けて通れないのが、パスワードに紐づくID/アカウントです。
みなさん、通常の生活でID/アカウントをいくつ使っていますか?
日常生活だけでも、
と現状、いろんなIDを使っているかと思います。これらのIDに大体は「パスワード」が紐づいていたりします。
日常生活だけでもこれだけですので、会社勤めで会社のシステムのID/パスワードなど含めていくと、結構な数のID/パスワードを利用しているはずです。
本人確認の方法としては、指紋認証とかワンタイムパスワードとかいろいろあるのですが、なぜ、これほどパスワードが多用されているのでしょうか?
はっきり言うと、「導入コストが安い」からなんです。
サーバOSとかWebサーバとか、そのあたりの業務用パッケージなんかもそうですが、ID/パスワードの仕組みって、OS/ソフトにすでに組み込まれているんですよね。なので、これを使うのが一番導入コストがかからない。
指紋認証やワンタイムパスワードとか違う本人確認の方法を使おうとすると、追加の機器やソフト等の導入といった追加コストがかかる。
また、明示的に「パスワードNG」といったような規制がないのであれば、追加コストは払いたくない、という理由だったりします。
まあ、この姿勢が良いか悪いかは別として、パスワードは手軽に簡単に導入できる本人確認の方法であることは確かなのです。
そして、パスワードが多用されるという現実は、利用者側、運用側に問題を起こします。
前述のとおり、多数のID/パスワードが利用されており、利用者側で、「パスワードをたくさん記憶しておかなければならない」という負担があります。
とはいえ、ドイツの心理学者であるエビングハウスが忘却曲線実験で示したように「人間は忘れる動物である」なので、パスワード忘れは起こるのです。
そして、パスワード忘れが多発するとそれへの対応が運用側に問題を起こすのです。
そして、パスワード忘れによる利便性の低下を恐れた結果、パスワードの強度の低下の許容(最小文字数の撤廃等)、都度パスワード入力の省略(ブラウザへのパスワードの記憶)等による、全体的なセキュリティ強度の低下が起こることになるのです。
それでも、最近はいろいろ追加対策をすることで、セキュリティ強度の維持・向上をしている部分はあるのですが、「パスワードを忘れる」という部分への解はセキュリティ業界的にされているのかは怪しいものがあります。
「人間は忘れる動物である」と書きましたが、パスワードについては「強度の高いパスワードを忘れなければよい」というのも事実だったりします。
では、「忘れないor忘れにくいもの」というのはあるのか?というと、あったりします。
ということで、「忘れないor忘れにくいもの」である程度文字種・文字数を稼げるものであれば、パスワードには最適になるはずなのです。
つまり、「忘れないor忘れにくいもの」としては以下のようなものがあるはずなのです。
ということで、1,2,3を上手く組み合わせると、いわゆる「良いパスワード」を簡単に作れて、忘れにくくすることは可能です。というか、少なくとも私はこれを実践しています。
気になる方はぜひ試してみてください。こういったやり方は「知っている」だけではなく、「訓練/練習して」初めて身につくようになるので。