ほぼ例外なく｢パスワードは漏れている｣､なぜ？パスワードにまつわる俗説を検証“正しい管理”にアップデートするには

例えば、理想的なパスワードの要件として、類推されにくく覚えやすくなるべく長い文字列、などと規定されているが、使いまわすなという。現実にはそれができないから問題になっている。

パスワードの俗説を検証する

パスワードについてさまざまなルールや常識が存在する。中には根拠が怪しいもの、すでに時代遅れになっているものもある。それらをいくつか検証してみよう。

・パスワードはメモってもよい

PCの画面に付箋メモで貼り付けるのは推奨できないが、紙のメモを厳重に管理すれば、自分のパスワードリストを作ることはむしろよいアイデアだ。パスワードを使いまわしするなと言われても、つい覚えやすい同じパスワードを設定してしまいがちだ。

それを防ぐ意味で、メモ作成は効果がある。ただし、メモが盗まれた場合を考慮して、自分のみがわかる部分を伏字にするなどの工夫は必要である。WordやExcelファイルに保存してもいいが、その場合はファイルを暗号化するといった措置を考える。

・パスワードの文字種は多ければ安全とは限らない

パスワード設定に大文字小文字、英数記号など複数の文字種を強制するサービスは多い。システムでそうなっている以上、従う必要があるが、文字種の多さよりも文字列の長さのほうが、総当たり攻撃への耐性は高くなることが多い。

総当たり攻撃とは、設定条件の中で組み合わせが可能な文字列すべてを試す攻撃だ。文字種が増えれば組み合わせも増えるので、総当たり攻撃の試行回数が増える。しかし、文字数が6桁と少ない場合、アルファベット1種（大文字・小文字）だけでも9文字以上と長くしたほうが組み合わせの総数は増えるので、パスワード強度は高いことになる

パスワードを複雑にすることは、解読しにくさにもつながるが、設定や記憶の困難さから、使いまわしを誘発してしまうリスクもある。

・パスワードは定期的に変更しなくてもよい

以前は有効な対策の1つとされていたが、定期変更が煩雑になると、やはり使いまわしや強度の弱いパスワードの設定を誘発するという理由で、現在は定期変更を強制しなくてもよいとされている。

なお、漏洩が発覚した場合、漏洩が疑われる場合は、ただちにパスワードを変更する必要がある。また、システムや管理上の理由で1つのアカウントを複数人で共有する運用では、パスワードの定期変更は有効な漏洩対策となりうる。

・秘密の質問はいざというときに役立たない

パスワードを忘れたときに、代替の本人確認方法として「秘密の質問」という機能がある。「母親の旧姓は？」「ペットの名前は？」といった質問の答えをあらかじめ登録させ、パスワードを忘れたときにこの質問の答えをパスワードとする認証方法だ。

だが、母親の旧姓や出身小学校などは、SNSなどの公開情報から類推できることがある。また、ペットの名前を覚えていても、入力したときひらがな、カタカナ、漢字、アルファベットか、正しく覚えているだろうか。ペットが複数いた場合、どの名前を使っただろうか。覚えていてもあいまいな記憶ではパスワードの代替にはならない。

以上は、パスワードにまつわる定説や俗説を解説したものである。ただ、これらの大前提として、パスワードの基本ルールを守ったうえでの話と理解してほしい（参考：国民のためのサイバーセキュリティサイト（総務省））。

セキュリティ対策において重要なのは、ルールや運用に頼るだけでなく仕組みやシステムとして違反やミスをなくす対策をバランスよく併用することだ。

同様にパスワード管理もシステムの仕組みやツールを使って安全に行うべきだ。パスワードをオフラインのメモで管理する方法を紹介したが、現在は、パスワードマネージャなど多数のパスワードを効率よく管理するツールも存在する。