パスワードは、複雑であれば複雑であるほど破られにくい。このため、パスワードの作成方法を解説する書籍や雑誌の記事の多くには、「理想論」が並べられている(図1)。

図1●理想を追い求めると破綻する
図1●理想を追い求めると破綻する
パスワードの理想と現実。パスワードはできるだけ複雑な方が望ましいが、理想の条件を全て満たすのは現実的ではない。「理想的なパスワードは無理」と諦めて、簡単な文字列をパスワードに設定してしまう。

 確かに、理想の条件を満たせばパスワードは強くなるが、作成することが難しくなり、覚えていることも困難になる。パスワードの強度と、作成・管理の負荷はトレードオフの関係なのだ。

 要求が厳しすぎると、ユーザーは「理想的なパスワード」は無理と諦めて、安易な文字列をパスワードに設定してしまう。実際、Webサービスなどから流出したパスワードを見ると、ユーザーの多くは、簡単な文字列をパスワードにしていることが分かる(表1)。

表1●情報流出で判明した「パスワードの実態」
表1●情報流出で判明した「パスワードの実態」
不正アクセスなどによって流出したパスワードの分析例。セキュリティ会社などは、ネットに流出したパスワードを分析して、よく使われていたパスワードの上位を公表している。

 パスワードの流出事件・事故は、世界中で頻繁に発生している。流出したパスワードの一部は、インターネットの掲示板に掲載されるなどして、一時的に誰でも入手可能になる。セキュリティ会社などは、そういったパスワードを収集して分析し、どういったパスワードが多いのかを公表している。

「123456」が使われる

 公表されたデータによれば、いずれの事例でも「123456」が上位に入っている。「password」や「abc123」といった文字列をパスワードにしているユーザーも少なくない。

 これらの文字列をパスワードに設定していると、容易に推測されて破られる。パスワード破りツールの辞書にも収録されているので、これらのパスワードは、破られて当然だと考えた方がよい。

 では、破られないパスワードはどうやって作ればよいのか。前述のように、利用しているWebサービスごとに、全く異なる複雑なパスワードを用意するのは難しい。

 ただ、セキュリティは0か1の世界ではない。「理想を実現するのが無理だから諦める」のではなく、「理想を実現できなくても、できるだけ破られにくくする」ことが重要だ。

 そこで、本特集で提唱したいのは、「少数の"マスターキー"を用意し、それをアレンジすることで、複雑なパスワードを複数作成する」という現実解だ(図2)。

図2●パスワード作成の現実解
図2●パスワード作成の現実解
パスワードの現実解の例。全く異なる複雑なパスワードを複数用意するのは困難。そこで、少数の「マスターキー」を用意し、それに短い文字列を追加することで、複雑なパスワードを複数作成する。

 できるだけ複雑な文字列をマスターキーとして作成する。その文字列に、サービスごとに異なる短い文字列を追加して、パスワードを作る。この方法なら、十分な強度を期待できるとともに、比較的容易に新しいパスワードを生み出せるだろう。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。