パスワード再考【半蔵門ビジネス雑談】20210902
IT化の普及によりほとんどのことがITに関わることになった。そしてシステムはクラウド化しその結果、ほぼ必ずログインが必要になった。ログインのキーとなるのはIDとパスワードだ。これらは類推されたり盗まれたりするリスクが懸念され続けてきた。
- 頻繁に変更するのか?
パスワードは漏洩するかもしれない。書いてある手帳を無くすかもしれない。サーバーがハッキングされて盗み出される可能性もある。そうなると防衛策の一つは、頻繁なパスワードの変更だ。システムでは一定期間でパスワードの変更を促す仕組みになっているものがある。パスワードを頻繁に変更すると安全かもしれないがそれはそれで覚えておくのが大変。何十種類もあるアクセス情報と異なるサイクルでの変更、使い回すにしてもその時点でどのパスワードになっているのかを管理することになり、今度はそれを記憶する手段をどうするか、その記憶した手段の紛失や盗難をどう防ぐかという新たな問題も出てくる。
一方、最近では2018年に総務省が「定期的な変更は必要ない」と言う定義をアナウンスした。
- 堅牢なパスワードなのか?
やはりパスワード自体の解析をしにくくすることが重要のようだ。設定してはいけない解析されやすいパスワードの例も掲載されている。堅牢なパスワードとは何か。
より堅牢なのは、パス”ワード”でなくパス”フレーズ”だ。覚えやすい好きな食べ物=「さくらんぼ」というワードだけだと解析されやすいので、「私の好きな食べ物はさくらんぼ」質問と答ごとパスワード化する。パスフレーズだ。さらに複雑にするのは単語の追加。「私の好きな”春の”食べ物はさくらんぼ」とかね。
- ワンタイムパスワードか
ワンタイムパスワードはシステム化が必要だが有効な手段。すでに銀行やYahooなどでも導入されている。仮にパスワードが漏洩していても携帯など本人確認ができるデバイスがなければ認証されない。最も携帯も盗まれていれば別だが。
- アプリで管理するのか
頼れそうなのは、クラウドでパスワードを管理するアプリサービス。サイトごとのパスワードを自動生成して暗号化して管理できる。アプリにログインするIDとパスワードだけはしっかり管理する必要があるが。せめてこの1個だけは、類推されない、漏洩させない、紛失しない方法で管理を自分でしなければいけないけど、そこはそれ。ねぇ。