ユーザー認証を強化するには様々な方法が考えられる(図2-1)。そのなかで、システムの構成などに関係なく、すべての企業で実践できる認証の強化策はパスワードの見直しだろう。
そもそも破られにくいパスワードとは、どのようなものか。パスワードは、管理の不備以外では「周辺情報からの推測」や、辞書を使って一つずつ単語を試していく「総当たり攻撃」で盗まれることが多い。そのため、辞書に載っている単語、規則的な数字の羅列や、IDと同じ文字列などは避けるのが定石だ。アルファベットの大文字/小文字、数字や記号を混在させるとさらに破られにくくなる。実際、そういうポリシーで運用する企業ユーザーは少なくない(図2-2)。
とはいえ、複数の種類の文字を組み合わせた無意味なパスワードは覚えにくい。自分だけが知る情報を基にして、一部の文字を規則的に数字に置き換えたり、パスワードの冒頭や末尾に記号を足したりするのがお勧めだ。
けた数については、理論上は長ければ長いほど破られにくいが、覚えられなければ意味がない。そのためか、モニターアンケートではパスワードを6けた以下ないしは8けたにしている企業ユーザーが多かった。「一般にパスワードは4けた、8けたなど偶数に設定されることが多い。推測によるパスワード破りを防ぐためには、11けたなどあまり使われないけた数にしておくほうが有利だ」(S&Jコンサルティングの三輪信雄社長)。これは、クラウドサービスを利用する場合でも、リモートアクセス用でも通用する考え方だ。