ポイント

●パスワードを設定する時は,次のことに気をつける。「短すぎるものは使用しない」,「数字や記号を混ぜて設定する」「類推されやすい文字列は使用しない」「定期的に変更する」。

●自分が忘れにくく覚えやすいパスワードは他人に推測されやすい

●パスワードをメモに残す場合などは管理保管に注意を払う

 前回は利用者を認証する方法として,SYK(記憶による認証),SYH(所有物による認証),SYA(本人の特徴による認証・バイオメトリクス)を見てきました。今回はその一つであるSYK(記憶による認証)の代表例「パスワード」を利用する時、利用者として注意しておく点にについて解説します。

 パスワードは,身近な認証手段として,この連載記事を読んでいる皆さんも普段使用されているかと思います。では,そのパスワードを運用する際,セキュリティを高めるために利用者が気をつけなければならないことには,どんなことがあるでしょうか。

短かいものは使用しない,数字や記号を混ぜて設定する

 銀行のキャッシュカードのように「4個の数字で」と制限されている場合もありますが,これだと0000~9999の1万通りしかありません。ATM(現金自動預け払い機)上で人間が操作をしながらの1万通りを入力するのは,けっこう時間がかかりそうです。しかし,コンピュータが1万通りを総当り攻撃するのは,さほど時間はかかりません。つまり,比較的簡単にパスワードを破ることができてしまいます。

 このため,文字列を長くしたり,数字や英字,記号を混ぜたりして,破られにくい安全なパスワードで運用することを考える必要があります。 例えば先ほどの例のように数字のみ4個だと1万通りしかありませんが,文字を1個増やして5個にすれば10万通りになります。つまり解読に要するコストは単純に考えて10倍になります。

 また,同じ4個の文字でも英文字と数字の組み合わせにすれば,1カ所にA~Zの26種類と0~9の10種類,合計36種類の文字が入る可能性があり,その組み合わせは36の4乗,つまり167万9616通りとなり,数字4個の場合と比較すると約168倍の解読コストが必要になります。さらに可能であるならばアンダーバーやハイフンなどの記号を混ぜたり,英字の大文字と小文字を区別することにより解読を困難にすることができます。

類推されやすい文字列を避ける

 パスワードは,「本人しか知り得ない情報」という部分が,他人がなりすまして使うのを困難にしています。しかしパスワードを忘れてしまって肝心な時にシステムを利用できないのでは困ります。このため,忘れにくい文字列,例えば生年月日や電話番号などを利用したくなります。

 しかし,これらの情報は第三者が比較的簡単に入手でき,パスワード破りを試みる際に真っ先に試される文字列になります。このため,これらの文字列の使用は避けるべきでしょう。

 同様の理由で,単純な文字列(例:111111や123456)や,意味のある文字列(例:passwordというパスワード),ユーザーIDと同じ文字列のパスワード※1(例えはユーザーIDがRB25DEのとき,パスワードをRB25DEにする)も避けるべきでしょう。自分が忘れにくく覚えやすいパスワードは,他人に推測されやすいと考えるべきです。

図1 ITproの登録情報変更画面
パスワード設定にあたって「ユーザーIDとパスワードは同一不可」,「文字列の長さ」,「有料サービス利用の場合,数字と英記号組み合わせ」などの制限がある。[画像クリックで拡大表示]

メモに残す場合は保管に気をつける

 前項で挙げてきたように,文字列を長く,文字種(数字・英記号)を増やすことにより,より破られにくいパスワードを作ることができます。しかし,あまり長くて複雑だと覚えておくのが大変です。また,数多くのパスワードとIDを頭の中で管理するのは大変な作業です。

 すると,メモ用紙やノートなどにパスワードを書いて残しておきたくなります。しかし,そこには紛失・盗難の可能性があります。ましてや,(ありがちですが)付箋紙に書いてモニタに貼り付けておくなど,簡単に他人の目にさらしていてはパスワードの意味はありません。

 とはいえども,現実には複数のサービスを利用するために複数のパスワードを使い分けているかと思います。そこで,記録に残す場合には,他人の目に触れることがないように,また紛失・盗難の心配がないようにしっかりと保管しておくことを考えておきましょう。

定期的に変更する

 万が一パスワードを盗聴された,あるいはパスワードが漏洩したとしても,変更してしまえば古いものは意味を持たなくなります。このため,パスワードを定期的に変更しておくのも重要です。変更する期間の目安は,もちろん短い方がより安全と言えます。しかし,あまり頻繁に変更するとなると,今度は使い勝手が悪くなります。

 「どういうケースでは何日おきに変更すべき」という明確な定義はありません。そこで,オンライン上のサービスを提供しているホームページのうちパスワードの定期的な変更に関して具体的に書いてあるページをいくつか調査してみたところ,「1カ月から3カ月に1度の変更が目安」と提示しているケースが多いようです。参考にしてください。

ブラウザに記憶させる場合は誰がそのPCを使用するか考える

 Webブラウザには,一度ログインしたWebサイトへ再びログインするときにIDとパスワードを自動的に設定してくれる機能があります。とても便利な機能ですが,そのブラウザを自分だけが利用する場合にのみ安全であることを忘れないようにしてください。

 当たり前の話ですが,他人がそのブラウザを使っても,あなたの権限でアクセスできてしまうことになります。

 また副次的な話になりますが,常にIDとパスワードが設定された状態になっていてクリックするだけでWebサイトへアクセスできる状態で使い続けていると,いつの間にかパスワードを忘れてしまい,いざという時にログインできない,なんていうことにもなりかねません。このため,少々面倒でもアクセスする度にパスワードを入力するように習慣づけておいた方が良いでしょう。