安易なパスワードの使い回しもOK？ Microsoftなどが提案

「管理しなければならないパスワードが増える中で、ユーザーが常に強いパスワードを作成して使い回しを避けることは不可能」と研究チームは指摘する。

[鈴木聖子，ITmedia]

　安易なパスワードは使用せず、使い回しは常に避けなければならない――。米Microsoftとカナダのカールトン大学の研究者が、そんなパスワード管理の「常識」に疑問を投げかける論文を発表した。

　これまで業界ではパスワード管理の鉄則として、各アカウントごとに強度の強いパスワードを作成し、複数アカウントでの使い回しは避けるようユーザーに促してきた。

　しかし今回の論文では、「管理しなければならないパスワードが増える中で、ユーザーが常に強いパスワードを作成して使い回しを避けることは不可能になっている」と指摘。弱いパスワードの使用や使い回しが一向に減らないのは、大量のパスワード管理がユーザーの負担になっているからだと分析する。

　そこで研究チームは、弱いパスワードの使用や使い回しを排除する戦略は「次善の策」と位置付け、ユーザーができることには限界があるという前提の下、アカウントのグループによっては使い回しを容認することを提案した。

　例えば、オンラインバンキングなど重要な情報を保存しているアカウントには引き続き強いパスワードを作成して使い回しを避ける一方で、たとえ破られたとしても損失の少ないアカウントのグループでは、弱いパスワードの使い回しも容認する必要があるとしている。

　また、パスワード管理ソフトの使用やクラウドを使ったデータの保存については、「もしマスターパスワードが推測されたり、マルウェアに感染したクライアントで使われたり、クラウドストアが破られたりすれば、全てのログイン情報が失われる」と警告している。