第12回 パスワードの決め方を考える“PCで仕事”を速くする

セキュリティ上重要なので、長く、複雑で、フレーズになっていないパスワードを作ってください。そして定期的に変更してください──。理屈では分かっても、実際に運用するのはたいへんなことだ。実際に使えるパスワードの作り方を考える。

» 2007年08月22日 17時39分 公開
[斎藤健二,ITmedia]

 PCでもWebサービスでも、使う際に必ずついて回るのがIDとパスワードだ。「あ、どんなパスワード入れたか忘れちゃった……」「これは! と思うパスワードを全部入力したけどダメだった」「えーと、どんなパスワードにしよう。前と同じでいいかな?」

 ほとんどの人はこんな経験をしたことがあるはずだ。その理由の1つは、守るべき要素と、運用上の使い勝手がほとんどの場合矛盾しているからである。

 一般に、パスワードについては下記のようなことが“セキュリティ上重要”だと言われる。

  • 同じパスワードを使わないこと → だからどのパスワードを使ったか分からなくなる
  • パスワードは定期的に変更すること → ますますどのパスワードを使ったか混乱する
  • 短かったり、推測されやすいパスワードを使わないこと → だから覚えていられない
  • 身近な単語や数字を使わないこと → つまり覚えにくいパスワードにすること
  • パスワードを手帳などに記載しないこと → そうはいっても覚えていられない
  • そのほか“ダメなこと”いろいろ → マイクロソフトのページ参照

 これらはセキュリティ上、まったく持って当たり前で重要なことだ。問題なのは、じゃあどうやって、推測されにくい長い、複数のパスワードを覚えていればいいのか──が提示されていないこと。これでは、契約書の裏に小さな文字で書いてある規約のようなものだ。分かっちゃいるけど、守れない──の典型例なのである。

実行できる、強いパスワード

 そもそも何のためにパスワードが必要なのかというと、本人認証を行うためだ。現在、認証の方法としては大きく3種類がある。

 1つは、パスワード(暗証番号)だ。特徴は特殊な機器を必要とせず、変更も容易であること。しかし“覚えなくてはいけない”ため、その実効性も強度も、記憶力という非常に頼りないものに依存することになる。つまり忘れるという危険性と、忘れるのを恐れて強度を落としてしまうという問題がある。

 2つ目は、トークンと呼ばれるもの。例えば家のカギとか、非接触ICカードの入館証、銀行のキャッシュカードなどが代表的なトークンだ。特徴は、機器の性能によって破られにくい認証が行えること。反面、認証方法に応じて専用の機器が必要だったり、変更するのにコストがかかったりする。また、紛失という危険性も持っている。

 3つ目は、昨今非常に増えている生体認証。指紋を使ったものはPCで既に一般的だし、掌紋や静脈も使われ始めている。虹彩認証なども存在する。強度を上げられ、紛失することもない。一方で、特殊な機器が必要で、なんといっても変更が効かないというリスクも抱えている。あなたの指紋のデータが流出して、今後使えなくなった──なんてことがこの先起きる可能性もある。しかし違った指を使おうと思っても10本しかないのだ。

 本当にセキュリティをアップさせたいなら、この3種類のうち2つを組み合わせるのが良いといわれている。しかしユーザーが選ぶことができるのは、IDとパスワードの2つくらいだろう。

普通のパスワードに、“トークン”を組み合わせる

 しかしやりかた次第では、普通のパスワードを作る際に「トークン」の考え方も組み込むことができる。ネットワーク全般のセキュリティについての大著『暗号の秘密とウソ』で取り上げられている方法だ。

 やりかたはこうだ。

 まずパスワードの前半部分は、できるだけランダムな文字で作成する。覚えやすさは全く気にしなくていい。そしてこの部分は、手帳でも付箋でもテキストファイルでもいいのでメモしておく

 普通は絶対してはいけないといわれる“メモ”をしておくのがポイントだ。これによって、パスワードがトークンに変わるのだ。つまり、忘れる可能性があり、覚えられないような複雑なものが設定できない──というパスワードのデメリットが消える。メモしておくのが前提だから、すごく複雑で長いものでもOKだし、頻繁に変更するのも可能だ。

パスワードを作る方法

 覚えられなくてもいいパスワードを作る方法はいくつかある。例えば、こちらのサイトのようなパスワード生成サイトを使うのも方法の1つだ。このPC TOOLSが提供するサイトでは、大文字小文字を分けるかどうか、記号を入れるかどうか、紛らわしい文字を使うかどうかなどを設定してパスワードを生成できる。SSL通信を使ったパスワード生成も可能だ。

 パスワードを決めたら、必ずその強度をチェックするようにしたい。マイクロソフトのサイトには、パスワードの強度をチェックできるサービスが用意されている(SSL通信になっている)。ただしパスワードをいろいろなサイトに無闇に送信するのは止めよう。


 一方でパスワードの後半は、覚えていられるレベルのものを使う。そうすれば、メモした前半部分をなくしたり人に読まれてしまったりしても、パスワード全体が破られることはない。

 これにより、単なるパスワードが、トークン+パスワードという認証法に変わるわけだ。

いくつのパスワードを作るべきか

 この方法をうまく使えば、いったいいくつのパスワードを作るべきか?という問題の解答にもなるかもしれない。

 よく聞くのが、次のような運用法だ。「サイトやサービスごとにパスワードを変えろといわれているのは知っているが、そんなに覚えきれないので、3種類のパスワードを使い分けているだけ」

 これへの対処法の1つは、先のトークン部分をサイトごとに変更する、というものだ。少なくとも、悪意あるサイトにIDとパスワードを登録してしまって、ほかのサイトのパスワードも流出してしまった──という事態は防げる。

 いずれにしても、トークン+パスワード運用のメリットは、状況に応じてトークン部分を強くしたり、パスワード部分を強くしたり調節できることだ。記憶力に自信があればパスワード部分を長く複雑にして、落とすかもしれないトークン部分を短くする。手帳などがしっかり管理されていて実は既にパスワードをメモしてある──という人は、後ろにパスワードを付け加えてそこを覚えておくだけでも強度が高まる。

 理屈と要求が、実際の運用と合わない典型例であるパスワード。うまく運用を工夫したいものだ。最終的に被害を受けるのは、あなた自身なのだから。

関連キーワード

パスワード | 運用管理 | メモ帳 | 認証 | 手帳 | 工夫


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ