インターネットを利用する人は、なんらかのサービスに登録しているだろうと思います。そのサービスには自分だけのアカウントが作られ、それにログインするのに必要となるのが「パスワード」です。
何者かにアカウントへ侵入されるといった被害をよく見聞きするようになりました。そんなことを知るにつけ、自分のアカウントは大丈夫だろうかと不安になったりします。
アカウントへのログインに必要なパスワードですが、あなたはどんなパスワードにしていますか?
これまでは、アルファベットの小文字だけでなく、大文字を混ぜたり、数字や記号を加え、より複雑にすると良いとされてきました。私もこれまでは、パスワードを作るときは、そのようなことを念頭に置きました。
しかし、本日、あるアカウントでパスワードを変更する必要が生じましたが、すべて小文字のアルファベットにしました。
パスワードの作り方を変えたのは、本日の日経新聞にある次の見出しの記事を読んだからです。
本記事では、パスワードの安全性を巡る「常識」が覆されたことが伝えられています。
以前は、同じパスワードを使うことを避け、定期的に変更することが「常識」とされました。2017年に定期的なパスワード変更を不要とする指針が示されることがありました。
そのときにその指針を出したアメリカ国立標準技術研究所(NIST)が、約3年ぶりにパスワード認証の更新をしています。NISTのガイドラインには法的拘束力はありません。しかし、業界標準として認識されることが多いそうです。
私が今回の更新で意外に感じたのが、冒頭で書いたように、これまでは推奨された、アルファベットの小文字だけでなく、大文字や記号、数字を混合させることを「推奨しない」としていることです。
考え方が百八十度変わったといえます。
推奨しない理由を記事では詳しくは書いていません。「攻撃側の技術進化によって効力が薄れているため」とだけ書かれています。
アルファベットの小文字だけであっても、他者に推測されにくい文字列であれば、十分なセキュリティを保てるということでしょうか。
パスワードの文字数は、「最低15文字」とされています。
悪いパスワードとしては、「Password」や「1234」などが挙げられています。それはそうでしょう。こんなパスワードを本当に使う人がいるのかと思ってしまいます。
日本のパスワード漏洩でも、1位は「123456」で、2位が「password」と記事にはあります。これでは、自分のアカウントを守るパスワードの役目を果たせないでしょう。
私も多くのアカウントを持ちます。だからパスワードの数も多いです。それらはすべて、意味を持たないアルファベットの羅列にしています。
パスワードを管理するアプリケーションソフトウェア(アプリ)を使い、アプリにパスワードを作成させています。ブラウザにGoogle Chromeを使う人であれば、新たなパスワードを入力するときに、ブラウザがパスワードを作成してくれる機能が搭載されているので、それを使うといいです。
パスワードでほかに気をつけたいことは、同じパスワードをほかのアカウントで使い回しをしないことです。それをすると、ひとつのパスワード漏洩によって、受ける被害が広がってしまいます。
今は、パスワードのほかに、パスキーの導入が進んでいます。
多くの被害を出したネット証券では、ログインの技術が複雑化されています。そのことでアカウントの安全性が守られるのはいいのですが、複雑にされることで、利便性は低下します。
より安全で、より利便性を良くするかが、今後のネットサービスには求められるといえそうです。