企業やネットサービス事業者が、今最も頭を痛めているのが、「パスワードリスト攻撃」だ。ある企業のサーバーから不正に入手したユーザー名やパスワードを使って、別の企業やサービスへの不正ログインを試みる手口である。
企業やサービス事業者が手厚いセキュリティ対策を実施していても、正しいユーザー名やパスワードでログインしようとする動きを止めるのは困難。もし不正ログインだったら、対策に大きな落ち度がなくても、ユーザーに連絡し、世間に公表する事態となってしまう。
今のところ、企業や事業者にとって最も有効な対策は、ユーザーに「ほかのサービスとは違うパスワードを使ってほしい」と伝えることだ。
しかしユーザーにとって、パスワードの使い回しをやめるのは、簡単なことではない。
覚え方でなく管理方法で工夫
なぜパスワードを使い回してしまうのか。それは、使っているパスワードの数が多いのに、なるべく複雑なパスワードにするよう求められるからだ(図1)。簡単なパスワードにすれば覚えられるが、攻撃者に推測される危険性が高まる。難しいパスワードにしたら、覚えられない。
しかも、紙などに書いておくと危険とも言われるので、記憶するしかない。これでは使い回してしまうのも無理はない。
考え方を変えてみよう。パスワードは、サービスごとにそれぞれ別のものを作成・設定する。それも、大文字や小文字、数字、記号を交えた、最も長く、複雑で安全性の高いパスワードにする。その代わり覚えるのは諦めて、台帳を作ってパスワードを管理する。
つまり、パスワードの作り方や覚え方に悩むのではなく、パスワードの管理方法で知恵を絞るのだ。