連載
» 2017年12月05日 11時30分 公開

半径300メートルのIT:さらば、パスワード Slackも採用したパスワードレス認証とは (1/2)

パスフレーズは使えない、2要素認証は面倒、パスワードマネジャーはもっと面倒……。そんなパスワード問題に打開策が登場?

[宮田健,ITmedia]
Photo

 セキュリティがテーマのこのコラムで、最もよく出てくる話題といえば、「パスワード」。管理する側もされる側も悩みがつきないのがこの問題です。

 パスワードは、“あなたがあなたであることを証明するための仕組み”であり、漏れると「なりすまし」の危険にさらされてしまいます。これがお金に直結する金融関連のものだったり、SNSの不正な投稿によって「炎上」したりするようなものだったら目も当てられません。最悪の場合、生活を脅かされることだってあるでしょう。パスワードはそれほど身近で重要なものなのです。

 そんなパスワードですが、ずいぶん前から「この仕組みを変えよう」という試みが始まっています。

 これまでは、強いパスワードというと、“1つ以上の記号が含まれ、大文字小文字が混在し、数字も入っているもの”というのがセオリーでしたが(以前紹介したパスワードの作り方も、それに沿ったものです)、パスワードの強度を高める新たな方法として、「長さ」に注目する動きが出てきたのです。

 ただ、これまでのようなランダム性の高い文字列に、「長さ」の要件までつけ加えると、人の能力では覚えきれなくなってしまうため、パスワードではなくパス“フレーズ”を考えることが提唱されています。

 パスフレーズは、“できる限り関連性のない単語を複数並べ、ハイフンやスペースで区切る”という方法。具体的には「hope-artless-elate」「probably-optima-myriad」「loose-soften-petition」といったものが例として挙げられます(これらはパスワード管理ソフトのパスフレーズ生成機能で作りました)。

 ほかにも、「disneylandisyourland」のように、文字通り“フレーズ自体をパスワードにする”場合もあります(これはフレーズの例としてはあまり良くありませんが……)。端的にいえば、「とにかく長いパスワードを作りましょう」ということです。

パスフレーズが普及しない理由

 一見、使いやすそうに見えるパスフレーズですが、現状ではあまり普及していません。私としても、あまりお勧めできない状況です。なぜなら、各種サービスで使われているパスワードは、「文字数の上限」が少ないケースが多いためです。

 パスフレーズのキモは、その長さにありますが、ほとんどのサービスでパスワードの文字数が、長くて64文字、短いものだと8文字までしか対応していないのです。これでは効果的なフレーズは使えず、結局、短めのパスワードを強固にするしかなくなってしまいます。

 結局、現状では、パスフレーズを工夫するより、“パスワードが弱くても、流出しても一定の効果がある2要素認証”を利用した方がセキュリティ面での安心、安全を確保できるのですが、これはこれで利用のハードルが高いことから、普及づらいのが難しいところです。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -