企業で利用するパソコンやサービスにおいて、セキュリティ管理はとても重要だ。
多くの企業は認証などで、パスワードに依存していることが多いはずだ。Windowsにしても業務用アプリやクラウドサービスにしても、最初に必ずサインインが必要になる。しかし、企業でパソコンを使うエンドユーザーの立場で見れば、このパスワードは悩みどころだ。覚えやすさや使い勝手を求めれば、安易で脆弱なものになるし、逆にランダムなフレーズにしてしまうととても覚えられない。
パソコンでは古典的に用いられている方法ではあるが、そんなパスワードについて改めて考えてみたい。
いまだにパスワードが「123456」な人々が驚くほど多い
パスワードが要求される場面は身の回りにあふれている。パソコンにサインインするとき、VPN接続するとき、メールやクラウドサービスを利用するときなど、パソコンを利用していると、あらゆる場面でパスワードを入力する機会が訪れる。
ではパスワードはどうやって決めているだろうか。
パソコンや業務用アプリ、社内サービスなどでは、あらかじめIDとパスワードが管理者から支給され、それを使ってサインインするケースがほとんどだろう。ただそのままではランダムに生成された非常に覚えづらい文字列のため、普段自分が使っているものなど、覚えやすいものに変更しているはずだ。
まずはパスワードを設定する際に最低限覚えておくこと、特に使用すべきではないものについてまとめる。
- 0123やpassword、IDと同じなど非常に単純なもの
(adminやrootなど機器のデフォルトのものは論外だ) - 単語やキー配列にちなんだもの。パスワードアタックで狙われやすい
- 家族の名前や誕生日、記念日など個人情報として入手しやすいもの
以上はごく当たり前なことで、心得ている人が多いと思う。しかし驚くことに、この手のパスワードを設定する人があとを絶たない。セキュリティは重要だと承知しつつも、ついつい覚えやすさを優先したり、入力の煩雑さを避けたりしたいのだろう。
ではどういうパスワードがいいのだろうか? よく要求されるのは以下の通り。
- 最低でも8文字、できるだけ長くする
- 大文字/小文字、数字などをまぜ、場所もなるべく不規則にする
- 記号類が使えるのであれば入れる
これらをベースに、推測されにくいフレーズと数字や記号を組み合わせて作るのがいいとされている。総当たりで試されても、必要となるパターンが増えるため解析に時間がかかるというのが理由の一つだ。しかし覚えやすいのに規則性がないフレーズを考えるのは、とても難しいだろう。
もうひとつ重要なのは、パスワード設定だけでなく、パスワード管理だ。
複数のサービスで同じパスワードを使い回すのはご法度。どのサービスも同じパスワードなら、複雑なものを1つ考えて覚えればいいので、使う側はラクだ。最近ではIDにメールアドレスを使うパターンが多いので、一度パスワードが流出してしまうと、別のサービスでも芋づる式に不正アクセスを許す結果になる。これは極めて危険だ。
とはいえ、人間がパスワードを覚えられるのは、数個が限界だろう。しかもそれがランダムな文字列だとおそらく無理で、ある程度覚えやすいフレーズになるはず。そうなると、セキュリティ的に強固かというと断言し難い。
この連載の記事
-
第56回
ビジネス
Windows Embedded Standard 7の延長サポート終了迫る。対策は万全? -
第55回
デジタル
パスワードは限界、テレワークにも効く生体認証「EVE MA」をVAIOと使う -
第54回
デジタル
テレワークのセキュリティ対策で関心度上昇中、「TRUST DELETE Biz for VAIO PC」とは? -
第53回
ビジネス
大量にマシンを導入する際に考える予算と生産性のバランス -
第52回
ビジネス
モバイルワークで重要なWeb会議を実現するのに必要なもの -
第51回
デジタル
リモートワークの選択肢が必須の時代、新型VAIO SXシリーズの輝きが増す -
第50回
ビジネス
ケーブル1本で何でもできるUSB Type-C搭載がマシン選びのキモ! -
第49回
デジタル
デスクトップPCからのリプレイスで選びたい、VAIO Pro PH -
第48回
ビジネス
Windows 7 EOS間近! いまやるべきWindows 10への移行のキモ -
第47回
ビジネス
メインマシンとして使える900g以下PCが、働き方改革の課題を解決する -
第46回
ビジネス
働き方改革の第1歩は、いままでの使い勝手を変えない「パソコン」でペーパーレス化すること - この連載の一覧へ