パスワードに記号や数字を使うのは、むしろ「危険」かもしれない
「パスワードには、少なくとも大文字を1つ、小文字を1つ、数字を1つ、記号を1つ含む必要があります」
誰もが少なくとも一度は、この種のリクエストに直面したことがあるだろう。ホームバンキングのサイトや会社のアカウント、もしくはお気に入りのソーシャルネットワークへのアクセス認証を作成するときに。パスワードに可能な限り多くの要素を含めるという慣行は、インターネットの世界ではほとんど伝統的といっていい。
これが一般になったのは、2003年のある文書がきっかけである。それから14年が経ったいま、これが実は有害であることがわかった。
その文書の著者ビル・バーが、『ウォール・ストリート・ジャーナル』のインタヴューで自らそう語った。当時、米国立標準技術研究所で働いていたバーは、引退したいまになって、このガイドラインがユーザーたちを混乱させ、彼らに愚かなパスワードを選択するよう強いたことを認めているのだ。
誤ったセキュリティー意識
バーが発表した文書の基礎となっている原則は、実際にはいくらかの意味があったし、それはいまでも変わらない。26文字のアルファベットからなるパスワードを推測することは、コンピューターにとっては「演算」だ。大文字や数字、記号を追加することは、このプロセスをずっと困難にする。
問題は、わたしたち人間にとって、この種のパスワードを記憶するのが難題であることだ。そしてわたしたちは、パスワードを覚えやすくするために同じ間違いをする。意味をなす短い言葉をベースにした組み合わせを使い続けてしまうのだ。その後、システムの要求を満たすために予測可能な場所に大文字を置き、パスワードの最初か最後に数字を用いる。もしくは、「3」を「E」の代わりに置くなど、視覚的に似た文字に置き換える。
その後、パスワードを変更するときに(たとえば90日ごとに)、わたしたちは再びパスワードを覚え直さなくていいように、最低限の変更だけを加えて似たパスワードを使い続ける傾向にある。
しかし、こうした慣行はむしろ逆効果である。IDに対する攻撃では、この種の置換えを利用してユーザーのパスワードを推測することができるからだ。従ってバーのガイドラインは──そしてあらゆるサイトがこぞってこのガイドラインを利用していることは──、ユーザーたちに誤ったセキュリティー意識を与えているともいえる。
ほかの研究者たちは以前から、解決策を提案している。意味をもたないが人間が覚えるのが簡単な短いフレーズを使うことだ。意味をもつ単語に比べて、コンピューターはこうしたランダムな要素の組み合わせを推測するのに、ずっと長い時間を必要とするだろう。
RELATED
あなたのパスワード、バレてます
