(133)
パスワードの変更
── パスワードは定期的に変更すべきか?
パスワードの扱い方を教えるとき、最も基本的な注意事項は以下の4点であろう。
(1)安全なパスワードを使う(長さや字種に配慮する)
(2)同じパスワードを“使いまわし”しない
(3)パスワードは定期的に変更する
(4)パスワードを無闇にメモに残さない
これらの注意事項は時とともに変わっていくものであろうが、最近(3)が不要であるという意見が出ているらしい。つまり「パスワードを定期的に変更する必要はない」と言うのである。これを聞いて安堵する人は多かろう。もし定期的に変更していたら、他の項目(1),(2),(4)の実践が増々難しくなり自分に負担が掛かるのだから、誰でも「楽になって良い」と思うに違いない。
しかし私は少し違うと思う。やはり「パスワードは定期的に変更せよ」と言い続けたい。
パスワードを構成する文字として英数字だけでも62文字(*1)が使えるから、8桁並べれば約218兆通り、10桁なら約84京通りの表現が考えられる。したがって、いわゆる辞書攻撃(*2)をされようとも簡単には破られないという考え方に基づくものであろう。
【注】(*1)・英字の大文字/小文字で52文字
・数字10文字 計62文字
・その他、特殊記号が使える
【注】(*2)辞書にある単語を片端から入力して試す。大文字と小文字を混在させたり数字を加えたりといった処理も加えて実行するものが多い。
理論的にはその通りかもしれないが、実際には利用者の多くは小文字の英字と数字だけから成る短いパスワードで済ませている人が多い。その結果、辞書攻撃で容易に破られてしまう。そこに「変更する必要はない」と言って解読作業に十分な時間を与えてしまったら、それは敵に塩を送るようなものである。実際に変更するかどうかは別にして、少なくとも「変更せよ」と言い続ける必要があるのではないか。
定期的に変更しないことを推奨して一体何のメリットがあるのか、私にはまるで理解できない。パスワードを守ることの重要性は各人のコンピュータ利用環境によって変わるのだから、まず初心者も含めた一般ユーザーに対して正しいパスワードの扱い方を徹底させる必要がある。その上で、更に高度なセキュリティーを求められる環境ではどうすべきかを個々に教育するのがよいのではないかと思う。
沢山の異なるパスワードを抱えて四苦八苦するのは避けたいと思っている人に対し、私はもっと知恵を働かせることを推奨したい。特別に記憶力が良くなくても、ちょっとした工夫だけで多種類のパスワードをメモなしで使いこなせるようになる。その方法をここに記す訳にはいかないけれど(*3)。
【注】(*3)ブラックハットのハッカーに一度狙われたら、先ずもって防ぎきれない。だから「パスワードはこうすべきだ」等と声高に言って目を付けられるのは避けたい。
|
