記者たちはパスワードをどう管理しているのか？ またはドクターフィッシュの秘密：記者トーーク！（3/4 ページ）

[ITmedia]

困ったパスワード

サイトウ　かなりパスワードの管理が面倒なことになっていますが、世間のパスワードを使うサービスに対して、物申す点とかありませんか？　ぼくは、かなり減ったにしても未だに定期的なパスワード変更を求めてくるサイトがとても気になっています。

キーチ　利用頻度が低いサービスで定期的なパスワード変更を求められると、ログインのたびにパスワード変更することになったりしますよね 。

タニイ　パスワードの定期更新って、やるやらないが宗教っぽくなってきてますよね。

サイトウ　セキュリティ界隈でも、意義が割れているんですか？

タニイ　割と最近、NISTで方針転換がありましたよね。

キーチ　もう「定期変更はするべきでない」という話になったはず。

タニイ　ただ今でも定期更新を要求するサービスは多い。

サイトウ　大きな声じゃいえませんが、更新求められると明らかにパスワードがインクリメンタルになってしまう。。。

キーチ　「前回、前々回のパスワードは設定できません」とか言われて、じゃあ3つ用意して使い回します、とかもあるあるですよね。

サイトウ　なるほど、その手があったかw

サイトウ　パスワードを頻繁に変更させるなら、最初から全部メールアドレス宛にパスコード送ってくる認証でもいい。SMS認証がかなり普及したので、スマホ系のサービスではそういうのもけっこう増えました。

キーチ　あー、それで言うと、最近Twitterで「スマホをなくしたときの処理をしたいのにSMS認証が必要で詰んだ」的な話を見かけましたｗ

ヨシカワ　ああ、そういうリスクがあるのか……そりゃそうだ……。

サイトウ　ほんと、スマホをなくすといろいろなものが詰んでしまう時代ですね。

サイトウ　僕もコアパスワード方式を使っているのですが、サービスによっては、記号は使えません、大文字は使えません、とか、文字数は8文字以内で、とか妙な制限があって、困っています。同じコアパスワードを使えないんですよ。

キーチ　サービス側で余計な制限すな、という話ですね（定期変更しかり）。

サイトウ　せっかく記号とか数字、大文字入れて、長いパスワードを用意しているのに、なぜ短くないとダメ！　と言われるのか。

ヨシカワ　そして特例で作ったパスワードを忘れる、という……。

サイトウ　パスワードを使わない認証方法も、最近開発が進んでいるみたいですが、期待できそうでしょうか？

タニイ　最近だとFIDO2ですかね。

サイトウ　ざっくり、どんな仕組みなんでしたっけ？

タニイ　FIDO Allianceっていうのがパスワードレス認証技術の業界団体なんですけど生体認証機や認証デバイスを使ってパスワードレスにするものです。

FIDO AllianceによるFIDO2の仕様概要

サイトウ　もうパスワードを覚えなくてもいい世界が、まもなく来る？？？

キーチ　ちょっとそれに関連したエピソードが最近ありまして、