• 会員限定
  • 2014/03/31 掲載

「良いパスワード」の例や条件とは? シンプルな管理と安全な運用を両立するひと工夫

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
不正アクセスやアカウント情報の漏えいなど情報インシデントが頻発する状況を受けて、多くのサイトがパスワードの定期的な変更とパスワードの使いまわさないことを推奨している。企業によってはパスワードの有効期限を決めてこれを実践させているところもある。しかし、正直なところ、強度の高いパスワードを定期的に変更しながらしかも他との重複を避けるということは至難の業といえる。有効な方法はないのだろうか。

「良いパスワード」の条件とは?

連載一覧
 一般に「良いパスワード」とは、英数記号が混在し、推測されにくい文字列で8文字以上のものとされている。4~5文字程度のアルファベット文字列や辞書に載っているような単語、または生年月日や1111のような数字は、攻撃者に簡単に推測されてしまう、あるいは単語リスト(辞書)を使って簡単にパスワードが破られてしまうからだ。

 また、古くから同じパスワードを使い続けることもよいこととはされていない。長期間同じパスワードでいると、推測や総当たり攻撃(ブルートフォース攻撃)の時間を与えることになるため、企業によってはパスワードの定期的な変更を運用基準に組み入れているところもある。

 これに加え、現在は複数のサービスで同じパスワードを使いまわす行為もセキュリティ上の問題があるとされ、パスワードはサービスごと、アカウントごとに違うものを使うことが推奨されている。当然、前記の強度の高いパスワードを定期的に変更するという条件も生きている上での推奨条件だ。

 Webサービスが広がり、クラウド利用が広がると、平均的なユーザーでも、プライべ―トや仕事も含めて10や20のアカウントを持つことは珍しいことではなくなってきている。もちろん、業務システムではシングルサインオンを導入しているところもある。メジャーなサービスやサイトのアカウントと相互認証することでログインを簡略化するしくみもある(「Facebookでログイン」などというログイン画面だ)。あるいはパスワード管理ソフトやサービスをもあり、多数のパスワードを持つわずらわしさを緩和する方法は存在する。

パスワード管理ソフトも万全ではない

 しかし、これらのしくみを使ってもパスワード管理の問題を根本的に解決することは難しい。業務関係のシステムはシングルサインオンで管理されていても、そうでないクラウドサービスを仕事に使うことは珍しいことではない。もし、このような外部サービスに業務システムのIDと同じパスワードや類似のパスワードを使っていたら? オープンなサービスのID情報をハッキングすることで、特定企業のシステムに容易に侵入できてしまうかもしれない。

 個人利用となるとさらに管理は困難かもしれない。プライベートで利用するサービスやサイトにログインが必要なものは意外と多い。サービス提供者としては、利用者の属性情報やアカウント登録は囲い込み戦略の重要な要であり、ログイン画面はなかなか外せない。結果としてユーザーは、頻繁に利用するつもりがなくてもID登録をしなければならない。その都度ID登録を行うが、それらをすべて管理できるだろうか。

 パスワード管理ソフト、パスワードマネージャーはそのような目的でかなり有効に機能するが、多くの人が使っているわけではない。使い方がよくわからない、マルチデバイスに対応していない(最近は少ないが)、サービスがなくなったりトラブルで使えなくなるリスクがある、といった理由で使用しない層も存在する。

 サイトやアプリのID相互認証の場合でも、サイト(FacebookやTwitterなど)のセキュリティ設定で、そのアプリとの連携を許可しなければならない。ソーシャルサービスのアカウントで、むやみにアプリ連携を許可するのは問題といえば問題である。さらにいえば、そのアプリがそもそも信用できるものかという問題もある(相互認証が正規のものであれば危険は低いが)。

【次ページ】パスワードのメモ、作っていいの?

関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます