みんな大好きパスワード(笑)
みなさんもう当たり前のように使用している「パスワード」という仕組み。
いったいいつから使われているのでしょう?
日本では古くは壬申の乱(672年)まで遡ります。
敵と見方を見分けるために使用されたそうです。
海外ではアラビアン・ナイトの中の物語「アリババと40人の盗賊」に登場します。
”ひらけゴマ”というパスワードがそれですね。
そんな歴史深いパスワードですが、2つの遵守事項があります。
・忘れないこと
・バレないこと(他人からの分かりづらさ/複雑さ)
でもこれって結構相反する内容だと思いません?
覚えやすいのは単純なパスワードだし、
複雑なのはおぼえられないですよね。
まあなので生体認証やMFA(Multi-Factor Authentication/多要素認証)が徐々に普及しているのでしょうけれどね。
とはいえまだまだ利用する機会の多いパスワードですが、
みなさんどんなパスワードを使用していますか?
パスワードを決める際に注意しなければならない事として、
「トリビアルパスワードは使わない」ということがあります。
トリビアルパスワードってなんやねんというと、
直訳すると”平凡なパスワード”
つまり”よく使われる誰でも考えうるパスワード”という意味です。
12345678
password
zaq12wsx
などなど、見に覚えのある人はいませんか?!
最近はWEBサービスでも”複雑性を満たすパスワード”として、
大文字、小文字、数字、記号、のうち3種類を使い、なおかつ10文字以上
としているものも見かけます。
ただ、トリビアルパスワードはそんな狭義なものではありません。
・辞書に載っている名詞、人名はNG
・過去に漏洩したことのあるパスワードはNG
・なにか意味を持つものはNG
という部分も含みます。
そう、もう覚えられるパスワードはほぼNGということですね。
「無機質な英数記号の12桁以上の羅列」
というのが、いまの時点での一般的なパスワード要件になります。
パスワード解析ソフトなどで、パスワードクラックを試みた場合、
大文字+小文字+数字+記号をすべて使って
・パスワード文字数6文字:5秒
・パスワード文字数8文字:8時間
・パスワード文字数12文字:34,000年
ぐらいの時間でパスワードが判明します。
6文字の5秒は問題外だとして、
8文字の8時間だったら、得られるものが時間に見合えば頑張ろうかなと思いますよね(笑)
残る問題は覚えられないパスワードの保管ですが、
これはパスワード管理アプリケーションなどに登録しておくのが一番でしょうね。
それも難しい場合は、ログインID やログイン先のシステム、URLの情報などと一緒にしないようにして、
パスワード単体で保存しておくこと(推奨はしませんが)。
万一パスワードだけ紛失、流出してしまっても被害は限定的になります。(可能性ですが)
もちろんシステムごとにパスワードがユニークであるのは大前提ですよ。
ちなみに壬申の乱では合言葉を多様しすぎたため合言葉が流出し、敵方が味方の合言葉を使って、
まんまと逃亡した、なんてエピソードが残されています。
もうこのときからパスワード運用の苦悩は始まっていた訳ですね(苦笑)