このページの本文へ

前へ 1 2 3 4 次へ

「VAIO、法人向く。」の現在を探る 第32回

パスワードの呪縛から逃れる生体認証のススメ

パスワードをいまだに使い続けるのは「セキュリティ的にあり」か?

2018年08月24日 09時00分更新

文● 飯島範久 編集●ASCII

  • この記事をはてなブックマークに追加
  • 本文印刷

 企業で利用するパソコンやサービスにおいて、セキュリティ管理はとても重要だ。

 多くの企業は認証などで、パスワードに依存していることが多いはずだ。Windowsにしても業務用アプリやクラウドサービスにしても、最初に必ずサインインが必要になる。しかし、企業でパソコンを使うエンドユーザーの立場で見れば、このパスワードは悩みどころだ。覚えやすさや使い勝手を求めれば、安易で脆弱なものになるし、逆にランダムなフレーズにしてしまうととても覚えられない。

 パソコンでは古典的に用いられている方法ではあるが、そんなパスワードについて改めて考えてみたい。

いまだにパスワードが「123456」な人々が驚くほど多い

 パスワードが要求される場面は身の回りにあふれている。パソコンにサインインするとき、VPN接続するとき、メールやクラウドサービスを利用するときなど、パソコンを利用していると、あらゆる場面でパスワードを入力する機会が訪れる。

 ではパスワードはどうやって決めているだろうか。

 パソコンや業務用アプリ、社内サービスなどでは、あらかじめIDとパスワードが管理者から支給され、それを使ってサインインするケースがほとんどだろう。ただそのままではランダムに生成された非常に覚えづらい文字列のため、普段自分が使っているものなど、覚えやすいものに変更しているはずだ。

 まずはパスワードを設定する際に最低限覚えておくこと、特に使用すべきではないものについてまとめる。

  • 0123やpassword、IDと同じなど非常に単純なもの
    (adminやrootなど機器のデフォルトのものは論外だ)
  • 単語やキー配列にちなんだもの。パスワードアタックで狙われやすい
  • 家族の名前や誕生日、記念日など個人情報として入手しやすいもの

2017年12月にセキュリティ企業SplashDataが発表した「最悪なパスワード100」より。トップは「123456」

 以上はごく当たり前なことで、心得ている人が多いと思う。しかし驚くことに、この手のパスワードを設定する人があとを絶たない。セキュリティは重要だと承知しつつも、ついつい覚えやすさを優先したり、入力の煩雑さを避けたりしたいのだろう。

 ではどういうパスワードがいいのだろうか? よく要求されるのは以下の通り。

  • 最低でも8文字、できるだけ長くする
  • 大文字/小文字、数字などをまぜ、場所もなるべく不規則にする
  • 記号類が使えるのであれば入れる

 これらをベースに、推測されにくいフレーズと数字や記号を組み合わせて作るのがいいとされている。総当たりで試されても、必要となるパターンが増えるため解析に時間がかかるというのが理由の一つだ。しかし覚えやすいのに規則性がないフレーズを考えるのは、とても難しいだろう。

 もうひとつ重要なのは、パスワード設定だけでなく、パスワード管理だ。

 複数のサービスで同じパスワードを使い回すのはご法度。どのサービスも同じパスワードなら、複雑なものを1つ考えて覚えればいいので、使う側はラクだ。最近ではIDにメールアドレスを使うパターンが多いので、一度パスワードが流出してしまうと、別のサービスでも芋づる式に不正アクセスを許す結果になる。これは極めて危険だ。

 とはいえ、人間がパスワードを覚えられるのは、数個が限界だろう。しかもそれがランダムな文字列だとおそらく無理で、ある程度覚えやすいフレーズになるはず。そうなると、セキュリティ的に強固かというと断言し難い。

前へ 1 2 3 4 次へ

カテゴリートップへ

この連載の記事

アスキー・ビジネスセレクション

ASCII.jp ビジネスヘッドライン

ピックアップ