今、私たちが日々の生活でいったいどのくらいの「パスワード」を入力しているのか、ご存知だろうか。
インターネットだけではない。会社でも「指紋認証+パスワード」のようなスタンドアロン型(ネット接もあるが)からOA端末を起動する時のパスワード、業務システムにアクセスする時のパスワードなどがある。ネットなら、Google、Twitter、Facebook、Yahoo!、Amazon……。特にスマホなどからはLINE、Webメール、クラウドサービス……。そして、ネット配信記事の会員入力、さまざまなポイントが付く購買サイト、クレジットカードの3けたコードや暗証番号、銀行のキャッシュカードなどなど——。
筆者がカウントしてみたら、実に70を超えていた。しかも、その6割は以前にパスワード登録をしたことすら覚えていなかった(どうして判明したかはここでは割愛したい)。思い出すのに苦労したものも多かったのである。ごく普通の人でもよくよく調べてみると、30程度は見つかるはずだ。アクセス制限の厳しい会社なら、会社のパスワードだけで簡単に10を超えてしまうかもしれない。
情報処理推進機構(IPA)が8月1日に発表したパスワードに関する呼び掛けでは、こうして調査したパスワードとその使用法、そして対になっているはずのID(もしくは会員番号とかメールアドレスなど)の3つ要素を表にして、「パスワード付き電子ファイル」に保存しなさいという管理方法をアドバイスしている。例示では次の3つを挙げている。
- 表計算ソフトでIDとパスワードのリストを作成する。そのリストをパスワード付きでファイル保存する
- 表計算ソフトでIDとパスワードのリストを作成し、ファイル保存する。そのファイルをパスワード付きで圧縮ファイル(zipなど)に変換する
- 「メモ帳」などでIDとパスワードのリストを作成し、テキストファイルとして保存する。そのファイルをパスワード付きで圧縮ファイルに変換する
筆者はこれをみて、「えーっ!?」と思った。今どきこんな管理方法を推薦するだろうか。何もしないよりマシだからなのか……。パスワード付きのzipファイルなど簡単に復号化されてしまう。わざわざそのファイルを作成することは、「大事なものが中にあります」と言いふらしているようなものであり、わざわざ専門家が「逆に攻撃対象にされるので止めるべき」と警告していたほどだ(メール添付ファイルにおけるパスワード付zipファイルがインターネットからターゲットになってしまう)。
IPAもこうした事実を知っているはずだろう。わざわざ「そうしなさい」ということには、よほどの根拠があるのだろうか。なお、Excelのパスワード付きファイルも、今ではわざわざ総当たり攻撃や辞書攻撃などせず、Excel用のレインボーテーブルを利用してこじ開けてしまえる。
IPAは、こうした表について「ID」と「パスワード」を切り分けで2つのリストを作成し、普段から別々に異なる形(PCとメモ用紙とか、PCとスマホなど)にして保持すべきだと薦めている。もし片方を盗み取られても、それだけでは不正ログインに悪用できないので安全だという。
筆者は「そんなの無理、できません」と断言できる。こういう管理方法が好きな人もいるに違いない。でも、筆者には無理だ。また一部の専門家は、「パスワード管理ツールを利用すればいい」と言う。筆者も有料、無料を問わずいくつかのツールを試してみたが、パスワードを登録できてもメンテナンスができなかった。最初は物珍しさもあってメンテナンスをするが、だんだんと面倒になり、そのうちに「後でいいか」と思えてくる。1年後は見事なくらいに、ほとんどのパスワードがメンテナンスされなくなっていた。
Copyright© 2013 ITmedia, Inc. All Rights Reserved.