毎年2月1日は「Change Your Password Day」(パスワード変更の日)です。2012年以来続いていますが、当時は有効だと思われていた対策も、2019年の今では少々時代遅れになっています。そのため、この日もそろそろ「Strong Password Day」(強力なパスワードの日)にしたらどうかと思う次第です。
定期的にパスワードを変えても意味はない
10年前は、パスワードの定期的な変更が、セキュリティの対策として一般的に行われていました。現在、パスワードの定期変更は特に有効ではないと見なされています。その理由は、パスワード問題につきまとう2つの相反する要素にあります。まず、対象のアカウントを効果的に保護するためには、パスワードを推測しにくくなければなりません。さらに、パスワードは覚えやすいものである必要があります。パスワードの定期変更は、1つ目については多少有効ですが、2つ目に関しては猛烈に厄介です。
問題の根本は、私たち人間が長くて複雑なパスワードを覚えるのを好まないところから来ています。私たちは機械ではありません。ですから、自然にズルをしてしまいます。パスワードを変更しなければならないとき、まったく新しいパスワードを考え出すのではなく、今までのものを少しだけ変えて済まそうとするのです。たとえば「batman2018」というパスワードがあったとしましょう。このパスワードを変更しろと言われたら、ほとんどの人は「batman2019」にするのではないでしょうか。システムにとっては別のパスワードですが本質的には同じであり、何よりも、変更前のパスワードが漏洩すると変更後のパスワードを簡単に推測できてしまうという致命的問題があります。
まとめると、定期的にパスワードを変えてもあまり意味はありません。強力なパスワードを使用し、さらにそのパスワードを使い回さないことの方がはるかに重要です。それでは、パスワードの使い回しについて少し考えてみましょう。
パスワードを使い回してはならない理由
非常に強力なパスワードを1つ考え出して、自分の持っている全アカウントで使い回せばよさそうに思えます。これならアカウントはすべてしっかりと保護されるし、パスワードが複雑であっても1つだけならば覚えるのは苦にならないし、一石二鳥では?理想世界の話をするなら、それで大丈夫かもしれません。しかし残念ながら、私たちが住んでいるのは、データ漏洩が繰り返し発生し、パスワードが破られる世界です。全部のアカウントで同じパスワードを使っていると、1度のパスワード漏洩で、すべてのアカウントが乗っ取られてしまう危険があります。「一石二鳥」どころではなく、1個の石で鳥の群れ全体がやられてしまうようなものです。
強力なパスワードとは
「強力な」パスワードとは、どんなパスワードでしょうか。答えようとすると少々込み入った話になりますが(数学的な話になります)、ざっくり言えば2つの要素に落とし込むことができます。1つ目は、1つのパスワードで使う文字です。いろいろな種類の文字を組み合わせて使うと、パスワードは強化されます。2つ目は長さで、長いほど強度が上がります。
ありがたいことに、この2つは補完しあっています。「#」「%」「&」のような記号を覚えづらかったら、代わりにあと何文字か足してパスワードを長くすれば良いのです。
もう1つ。強力なパスワードは、無作為に文字を並べたものである必要はありません。ランダムに文字が並んだパスワードはセキュリティ上効果的ではありますが、いくつも記憶するのはとても大変です。これも、長さで対応できます。パスワードを少なくとも12文字にしてください。もっと長ければ、いっそう強力です。
強力で覚えやすい、1つしかないパスワード
何はともあれ、複数の強力なパスワードを使い回さずに覚えるのは、想像よりもずっと簡単です。要は、適切なやり方が頭に入っていれば良いのです。
どうしたらよいかは、八っつぁんと一緒にご隠居に聞いてみましょうか…
このほか、Kaspersky Labのグローバル調査分析チーム(Global Research and Analysis Team:GReAT)のメンバーであるデイビッド・ヤコビー(David Jacoby)が、パスワードの作り方を分かりやすく説明しているので、こちらの記事もぜひ参考にしてください。パスワードマネージャーの利用も考えてみましょう。