ITmedia NEWS > 速報 >
ニュース
» 2019年05月27日 11時11分 公開

新連載「この頃、セキュリティ界隈で」:変わるパスワードの常識、変わらない実態

セキュリティニュースを追い続けている鈴木聖子さんによる、セキュリティ界隈のブリーフィング。第1回です。

[鈴木聖子,ITmedia]

 海外のセキュリティ関連ニュースを追い続けている鈴木聖子さんによる、最近のセキュリティニュースブリーフィング。隔週でお届けします。


 「そこまで言うか?」と、ちょっと驚いた。「パスワードの定期的な変更」について、徹底的にこきおろしたMicrosoftのブログ記事。ほんの数年前まで「パスワードを定期的に更新しましょう」というのは安全対策の基本だったし、金融機関からも定期的な更新を促すお知らせがしつこく届いていた。

photo

 しかし今では米国立標準技術研究所(NIST)や総務省も方針を転換し、「パスワードの定期的な変更はしない方がいい」が常識になっている。

 ところがMicrosoftのWindowsでは、いまだにパスワードの有効期限を設定するポリシーが生きていたらしい。そのポリシーについてMicrosoft自らが、「ancient and obsolete mitigation of very low value(古めかしくて時代遅れの非常に価値が低い対策)」と言い切った。

 「人に自分でパスワードを選ばせれば、だいたいが安易なパスワードを選ぶ。覚えにくいパスワードの作成を強要すれば、大抵は自分の目に見える場所に貼っておく。パスワードの変更を強いれば、今あるパスワードを少しいじっただけの簡単に予想がつく修正を行う。そして新しいパスワードは忘れてしまう」。

 ブログの指摘はどれも思い当たることばかり。ただ、「パスワードセキュリティの現状は問題だらけ」とMicrosoftも業界も認めてはいても、現状は一向に改善されず、じゃあどうすればいいの?という名案も出てこない。

 Microsoftといえば、ビル・ゲイツ氏は2004年の時点でパスワードの終わりを予言していたとか。これだけ変化の激しい業界なのに、パスワードだけは15年たった今もなお、ダメだダメだと言いながら何も変わっていない現状は、ある意味、すごい。

 それを裏付けるような調査結果も発表された。世界でハッキングの被害に遭ったパスワードの中で、最も多かったのは「123456」だったというニュース。発表したのは英国のサイバーセキュリティ機関だったけれど、今回に限らず「123456…」は、各種の調査で何年も前から連続でワースト1に君臨し続ける最低なパスワード。つまり、そういう安易なパスワードはダメ、使い回しはやめましょう、と業界がどれだけ叫んでも、一般ユーザーには一向に伝わっていないのだ。

photo 最低なパスワード上位は……。

 ちょっと脱線するけれど、パスワードに使われることの多い、そしてハッキング被害に遭うことの多い架空キャラクターの名前では「naruto」が2位、「pokemon」が4位だった。やっぱり日本のアニメはすごい――と喜んでいる場合じゃない。

 もっとも、スマートフォンやタブレットが普及した今は、指紋や顔などの生体認証も普通になりつつある。例えばあと5年後、10年後には、「パスワード?そんな面倒なモノ、昔は使っていたっけ」という時代がいよいよ来るのか。それとも相変わらず「パスワードはダメだ」と言いながら、やっぱり大勢の人が「123456」を使い続けているのだろうか。

Copyright © ITmedia, Inc. All Rights Reserved.