パスフレーズは使えない、2要素認証は面倒、パスワードマネジャーはもっと面倒……。そんなパスワード問題に打開策が登場?
セキュリティがテーマのこのコラムで、最もよく出てくる話題といえば、「パスワード」。管理する側もされる側も悩みがつきないのがこの問題です。
パスワードは、“あなたがあなたであることを証明するための仕組み”であり、漏れると「なりすまし」の危険にさらされてしまいます。これがお金に直結する金融関連のものだったり、SNSの不正な投稿によって「炎上」したりするようなものだったら目も当てられません。最悪の場合、生活を脅かされることだってあるでしょう。パスワードはそれほど身近で重要なものなのです。
そんなパスワードですが、ずいぶん前から「この仕組みを変えよう」という試みが始まっています。
これまでは、強いパスワードというと、“1つ以上の記号が含まれ、大文字小文字が混在し、数字も入っているもの”というのがセオリーでしたが(以前紹介したパスワードの作り方も、それに沿ったものです)、パスワードの強度を高める新たな方法として、「長さ」に注目する動きが出てきたのです。
ただ、これまでのようなランダム性の高い文字列に、「長さ」の要件までつけ加えると、人の能力では覚えきれなくなってしまうため、パスワードではなくパス“フレーズ”を考えることが提唱されています。
パスフレーズは、“できる限り関連性のない単語を複数並べ、ハイフンやスペースで区切る”という方法。具体的には「hope-artless-elate」「probably-optima-myriad」「loose-soften-petition」といったものが例として挙げられます(これらはパスワード管理ソフトのパスフレーズ生成機能で作りました)。
ほかにも、「disneylandisyourland」のように、文字通り“フレーズ自体をパスワードにする”場合もあります(これはフレーズの例としてはあまり良くありませんが……)。端的にいえば、「とにかく長いパスワードを作りましょう」ということです。
一見、使いやすそうに見えるパスフレーズですが、現状ではあまり普及していません。私としても、あまりお勧めできない状況です。なぜなら、各種サービスで使われているパスワードは、「文字数の上限」が少ないケースが多いためです。
パスフレーズのキモは、その長さにありますが、ほとんどのサービスでパスワードの文字数が、長くて64文字、短いものだと8文字までしか対応していないのです。これでは効果的なフレーズは使えず、結局、短めのパスワードを強固にするしかなくなってしまいます。
結局、現状では、パスフレーズを工夫するより、“パスワードが弱くても、流出しても一定の効果がある2要素認証”を利用した方がセキュリティ面での安心、安全を確保できるのですが、これはこれで利用のハードルが高いことから、普及づらいのが難しいところです。
Copyright © ITmedia, Inc. All Rights Reserved.