« 21世紀のオフィスルールってものがあるらしい | トップページ | 「ワイングラスのボウル部分を持つのが国際的常識」という嘘 »

2015年1月31日

理想のパスワード管理とは

一昨日の記事、「パスワード管理は面倒くさいものだが」の続編である。どんなパスワードが一番安全で、しかも使いやすいかという問題だ。

まず、自分の誕生日、電話番号、住所など、個人情報から容易に想像がついてしまうのは、ダメである。ID さえ知られてしまったら、あとは容易にクラックされてしまう。恋人や配偶者、子ども、ペットの名前なんかもダメだ。

それから、単純な単語もダメで、その代表例が "password" である。昔のルーターなんかは、管理用の ID と パスワードの初期設定が "admin"、"paswword" というのが多くて、それをそのまま使っているというトンデモなシステム管理者がかなりいた。危なくてしょうがない。

そうでなくても 1ワードで辞書に載っているような単語は容易に想像がついてしまう。なぜか知らないが、"monkey" というのが結構多いそうで、あとは "baseball" "football" も増えているという。この 2語が増えているのは、最近 8文字以上のパスワードが要求されることが多いからかもしれない。ただ、いずれにしても 1ワードは容易にバレやすい。

さればといって、複数の単語を組み合わせたものならいいのかというと、"letmein" "iloveyou" "iloveu" なんていう定番は、やっぱりダメだ。こんなのでは、1ワードと変わらないほど不用心である。

となると、一番いいのはランダムな文字の組み合わせということになる。例えば "rTm#4vD)" みたいなやつだ。スマホの登録時に自動的に発行される暫定パスワードなんかは、この類いが多い。とにかくクラックしにくいから、なまじ余計な知識がなくてそのまま使い続けているなんていうのは、結構安全だ。

ところが、こうした 「セキュリティの観点からは望ましいパスワード」というのは、実際のところはかなり不人気である。自動発行された初期設定のパスワードをそのまま使い、メモするのを怠ったため、一度ログアウトしてしまったが最後、再びログインすることができなくなるという人が、案外多い。

そうでなくても、ランダムな文字列のパスワードは「面倒くさい」という理由で人気がない。もっと端的にいえば、「自分でも覚えられない」というのが正直な理由だろう。文字列自体に意味はなくても、「自然に発音しやすい」という要素があれば覚えやすいが、そうでないとフラストレーションの源泉になる。

つまり、ユーザーが覚えやすいパスワードはクラックされやすく、クラックされにくいパスワードはユーザー自身が取り扱いに苦労するというパラドックスが生じる。

こうした問題を解決するためには、自分しか知らないかなり昔の記憶のテキスト要素と数字要素を組み合わせるというようなテクニックが、役に立つかもしれない。例えば、通っていた幼稚園のクラスの名前と、親戚の電話番号を組み合わせて "himawari4398" なんていうのは、なかなかクラックされにくいだろう。あるいは小学校の校長のあだ名と最初に乗った車のナンバーで "kotaro3348" なんていうのも意表をついている。

そして、それらを一定期間をおいて更新していくということにすれば、なかなか立派なものだろうが、一番面倒くさいのは、この「時々変える」ということかもしれない。

 

|

« 21世紀のオフィスルールってものがあるらしい | トップページ | 「ワイングラスのボウル部分を持つのが国際的常識」という嘘 »

パソコン・インターネット」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック


この記事へのトラックバック一覧です: 理想のパスワード管理とは:

« 21世紀のオフィスルールってものがあるらしい | トップページ | 「ワイングラスのボウル部分を持つのが国際的常識」という嘘 »