メディア個別 記号を使う必要なし!? これが「パスワード」の新常識だ | editeur エディトゥール

editeur

検索
第18回 | エディトゥールPRIME

記号を使う必要なし!? これが「パスワード」の新常識だ

Webサービスにはパスワード認証が不可欠だ。しかし、全文字種を組み合わせた「破られにくいパスワード」を考えるのはじつに面倒くさい。また、サービスごとに複雑な文字列のパスワードを設定しても、今度はそれを忘れてしまったりする。すべてのWebサービスに応用できる「覚えやすく破られにくいパスワード」はないものか。そのヒントとなりそうなのが、日本を代表するセキュリティ組織が発表した「破られにくいパスワードの作り方」の新方針だ。

12文字以上の長いパスワードにすれば、記号を含めた全文字種を使う必要はない!?

SNS、ECサイト、オークション、ニュースサイト、オンラインバンキング。現代人はさまざまなWebサービスを利用する。当然ながら、利用するサービスが増えればその分パスワードも増えていく。結果、ついやってしまいがちなのが「異なるパスワードを考えるのが面倒」「異なるパスワードを設定したが忘れてしまった」という理由によるパスワードの使い回しだ。

言うまでもないことだが、パスワードの使い回しは厳禁。どれほど複雑な文字列にしたところで、使い回せばそのうちひとつでも漏れると無意味になるからだ。そこで毎年8月に「STOP!パスワード使い回し!キャンペーン」を実施し、パスワードの使い回しをしないよう呼びかけているのが日本有数のセキュリティ組織、JPCERTコーディネーションセンターである。

このキャンペーンでは破られにくいパスワードの作り方を紹介している。これまで推奨されてきたのは、「大小英字、数字、記号の全文字種を組み合わせる」「8文字以上にする」という作成法だ。これを個々のユーザーがそれぞれ独自の置き換えルールによって運用する。

ところが、今年は「破られにくいパスワード」の方針が一変。「12文字以上にすれば必ずしも全文字種を使う必要はない」とされた。英小文字と数字だけのシンプルなパスワードでも、12文字あれば組み合わせのパターンは天文学的な数になる。お気に入りの単語を組み合わせてなるべく長い文字列にすれば、十分に破られにくいパスワードになりうるという。

それでも覚えられなければ「パスワード管理ツールを使う」「紙にメモ」という手も

この方針転換の背景にあるのも使い回しだ。『日経XTECH(クロステック)』によると、昨年までの「破られにくいパスワード」は全文字種を使って作成するため、ユーザーから「覚えにくい」といった声がJPCERTコーディネーションセンターに多数寄せられたという。

しかも、全文字種による複雑なパスワードは個々のユーザーが定めた置き換えルールによって作成するが、その前提のルールを覚えられない人も多い。使い回しをストップさせようとして紹介した方法だったのに、逆に使い回す人が増えるという皮肉な結果となったわけだ。

新たに推奨するパスワードの作成法がシンプルになったのはそのためだ。たしかに今回は、覚えにくい記号の代わりに漫画のキャラやペットの名前といった好きな単語を組み合わせ、その単語を利用するWebサービスごとに変えればいいだけなので非常にわかりやすい。

とはいえ、それでも「覚えにくい」「覚えられない」といった声が上がることは容易に想像できる。JPCERTコーディネーションセンターは、その場合、(1)パスワード管理ツールを利用する、(2)紙にパスワードをメモする、(3)パスワード付き電子ファイルに保管する、という3つの方法を推奨している。しかし(1)と(3)にはある程度のITリテラシーが必要となるだろうし、(2)にはメモをどこへ保管するか、そのメモをなくしてしまうなどの問題がある。

パスワード設定を「8文字以内」としているWebサービスの場合はどうすればいい?

ちなみに、筆者は以前から「英小文字と数字を組み合わせた基本形」+「利用するWebサービス名のアタマの3文字」という独自のルールによってパスワードを作成している。

たとえば、姓が「安倍」の場合、基本形を「abe1234」などに設定。そこへYahoo!なら「yah」、Googleなら「goo」と、サービス名の最初の3文字を組み合わせるのだ。この3文字は基本形のどこに入れてもよい。「yahabe1234」でも「abe124yah」でもOK。基本形さえ覚えておけば残り3文字はサービス名なので、ログイン時にひと目でわかる。ぜひ試してほしい。

問題はパスワードの設定を「8文字以内」としているWebサービスだ。そうなると上記のルールは適用できなくなり、ログインする際にパスワードを思い出せず苦労することになる。もちろん、JPCERTコーディネーションセンターが今年から推奨するのも12文字以上なので、同じことがいえる。パスワード問題というのはどうしてこんなにやっかいなのだろうか。

Text by Kiyoshi Nanamori
Edit by Takeshi Sogabe(Seidansha)

editeur

検索