セキュリティがテーマのこのコラムで、最もよく出てくる話題といえば、「パスワード」。管理する側もされる側も悩みがつきないのがこの問題です。
パスワードは、“あなたがあなたであることを証明するための仕組み”であり、漏れると「なりすまし」の危険にさらされてしまいます。これがお金に直結する金融関連のものだったり、SNSの不正な投稿によって「炎上」したりするようなものだったら目も当てられません。最悪の場合、生活を脅かされることだってあるでしょう。パスワードはそれほど身近で重要なものなのです。
そんなパスワードですが、ずいぶん前から「この仕組みを変えよう」という試みが始まっています。
これまでは、強いパスワードというと、“1つ以上の記号が含まれ、大文字小文字が混在し、数字も入っているもの”というのがセオリーでしたが(以前紹介したパスワードの作り方も、それに沿ったものです)、パスワードの強度を高める新たな方法として、「長さ」に注目する動きが出てきたのです。
ただ、これまでのようなランダム性の高い文字列に、「長さ」の要件までつけ加えると、人の能力では覚えきれなくなってしまうため、パスワードではなくパス“フレーズ”を考えることが提唱されています。
パスフレーズは、“できる限り関連性のない単語を複数並べ、ハイフンやスペースで区切る”という方法。具体的には「hope-artless-elate」「probably-optima-myriad」「loose-soften-petition」といったものが例として挙げられます(これらはパスワード管理ソフトのパスフレーズ生成機能で作りました)。
ほかにも、「disneylandisyourland」のように、文字通り“フレーズ自体をパスワードにする”場合もあります(これはフレーズの例としてはあまり良くありませんが……)。端的にいえば、「とにかく長いパスワードを作りましょう」ということです。
パスフレーズが普及しない理由
一見、使いやすそうに見えるパスフレーズですが、現状ではあまり普及していません。私としても、あまりお勧めできない状況です。なぜなら、各種サービスで使われているパスワードは、「文字数の上限」が少ないケースが多いためです。
パスフレーズのキモは、その長さにありますが、ほとんどのサービスでパスワードの文字数が、長くて64文字、短いものだと8文字までしか対応していないのです。これでは効果的なフレーズは使えず、結局、短めのパスワードを強固にするしかなくなってしまいます。
結局、現状では、パスフレーズを工夫するより、“パスワードが弱くても、流出しても一定の効果がある2要素認証”を利用した方がセキュリティ面での安心、安全を確保できるのですが、これはこれで利用のハードルが高いことから、普及づらいのが難しいところです。
Copyright© 2017 ITmedia, Inc. All Rights Reserved.
次回の掲載をメールで受け取る
<div style="clear:both;margin:15px 0 0 0;padding:10px;"><!--●概要文--><div style="background:#eee;padding:5px 10px;font-size:small;margin:5px 0px 0px 0px;">※こちらのページには2015年4月以降の記事を掲載しております。<br>2014年11月〜2015年3月の記事をご覧になりたい方は「 <a href="/bizid/series/1129/" style="color:#369;">2014年11月〜2015年3月の記事一覧</a> 」を、2014年10月以前の記事をご覧になりたい方は「 <a href="/makoto/series/1129/" style="color:#369;">2014年10月以前の記事一覧</a> 」をご覧ください。</div></div>
さらば、パスワード Slackも採用したパスワードレス認証とは
もう、「パスワードを覚える」のは諦めませんか?
私が「パスワードがない世界」を選べない理由
iPhoneをなくして分かる、二要素認証の落とし穴
万人にお勧めしたいけれど、まだまだ面倒くさい「二要素認証」
使うのは年1回程度、でも“絶対間違えられない”パスワードの覚え方
「強い」パスワードの作り方
