パスワードから出来る自己防衛

個人的にセキュリティの関係で思うことがあったので、皆さんにとって画面を通して最も身近なセキュリティであるパスワードに今回は触れたいと思います。

身近な最後の砦

パスワードと言うとネット関係というイメージが先行するかもしれませんが、ネットが普及するより前から人々には身近なものでした。手近な例だとATMで使う4桁の数字です。ATMでは先にカードの情報を読み取り、「〇〇さんが口座を使おうとしているから確認しよう」として4桁の数字入力を求めてきます。4桁の数字を決めているのは口座を作った時の本人のはずなので、カード→パスワードの手順でATMは本人かを問いています。

このように無人のサービスは本人の確認をパスワード+何か(カードだったり、ID名だったり)で行うというシンプルな仕組みは昔からありました。さらに人間は基本的にものぐさなので、ID等は最初から入力すらさせず、入力が求められるのはパスワードだけという風潮も生まれました。
現代ではPCやスマホなどからネットを通してできることが多様化した為、パスワードの出番は多くなり、同時にパスワードに対する価値も大きく向上しています。
その割にはパスワードに対する意識が昔のまま、という方も世の中多いです。それは昨今のアカウント乗っ取りなどの件数増加が証明しています。

パスワードは文字で設定するものですが、それが『鍵』として機能しているものという認識からスタートしてみましょう。

パスワード護身術

貴方はSNSやネットショップなどを利用しているとします。サービス提供側は「サービスを使うなら本人確認してね」とログインを求めてきます。ログインを「扉を開けて入る行為」と置き換えると、建物入口の扉には鍵が掛かっています。この鍵がパスワードです。
貴方はこのサービスを高い頻度で利用することが事前に分かっていたので、鍵を作る時に(お客様登録など)毎回の解錠が簡単になるように「1234」と設定しました。覚えやすいのでパスワードを忘れる心配も減ります。

さて、全く知らない人が同じ扉の所へ現れました。その人は貴方になりすまして扉を開けたいと思っています。
扉に掛かっている鍵は4桁の南京錠でした。その人はよく使われる施錠の数字に「1234」が多いことを知っていたので試しにやってみたところ、鍵は開いてしまいました。その人は扉から中へ入っていきましたが、建物はそれを本人の来店と受け取りました。

置き換えてみると鍵=パスワードの重要度が高いことが伝わるかと思います。確かに解錠するごとの手間は減らしたいですが、数字4桁の南京錠は心許ないですね。また、悪さをしたい側もその辺りを分かっており、楽をしたい人が設定するパスワードというものをノウハウとして持っています。
この辺りを認識すれば、鍵を強化したいという気持ちになってくれるのではないでしょうか? 以下は簡単にできる鍵の強化方法です。

#桁数は10桁以上
#使う文字は英数字
#文字列はランダムに

これだけで大抵の悪者は弾ける鍵が出来上がります。
まず、桁数が増えるだけでパスワードを何回試されても正解にたどり着くまでの時間が伸ばせます。数字4桁だと1万回試せば見つかりますが、数字10桁なら100億回です。更に英数字10桁なら3656兆回以上です。
「1234→1234abcd」これで1/1万から1/3656兆です。ただしここで注意が。パスワードはランダムにすると尚良しです。
桁数が増えてもパスワードを覚えやすかったり、自分の誕生月日など意味のあるものにしてしまうと、他人に推測されやすくなります。ランダムにするなど無意味にすることでパスワードは最大限の強度を発揮してくれます。

パスワード以外でできること

そうはいっても面倒くさい……という世のニーズもあり、手順の緩和とパスワードの強度向上の両方を叶えるものとして少し前から生体認証も一般化してきました。よく普及している方式だと静脈や指紋認証です。ATMやスマートフォンの読み取り部に指先を置くだけです。最近では家庭で使える指紋認証機器なんかも出ていますね。

これは非常に手軽で本人一致も文句なしの精度なのですが、実はセロテープに転写した指紋で認証が突破されるなど、複製に対する精度などで課題があります。それでも本人から指紋を取るという時点で文字だけのパスワードより安全です。

他には2段階認証もメジャーです。大抵はサービスに電話番号を登録すると、電話やSMSが飛んできて二段階目のパスワードを案内されます。基本的なログインでは二段階目のパスワードの出番はないですが、数ヶ月に一回くらいの頻度で入力を求められた経験はあるのではないでしょうか。

見え隠れする時間制限

ここまで書いておいてなんですが、セキュリティに「永遠」の言葉はありません。いつかは破られてしまいます。
パスワードの桁数も数十年前は4桁で十分でしたが、コンピューターの処理速度が年々向上することで、1万通りのパスワードの算出が数時間から秒以下になりました。コンピューターの性能に合わせて桁数が増えているイタチごっこはずっと続いています。
更に、近年では量子コンピューターの話も現実味を帯びているような口調で語られはじめています。量子コンピューターが完成すれば、既存のパスワードが何桁であろうと瞬時に解析されてしまうと言われています。
だが恐れるなかれ、今度は量子暗号によるセキュリティの時代だ……
と、既に未来においても現在と同じイタチごっことなる画が見え始めています。

それでも自分を脅かす今の危険を減らすことはとても有意義です。
貴方が使う鍵は大丈夫でしょうか?

ビーズクリエイト(株式会社唐沢農機サービス インターネット事業部)
〒389-0502 長野県東御市鞍掛846-1 TEL:0268-71-0090

>>制作実績はこちら

ito

この記事を書いた人: ito

ビーズクリエイトで主にディレクション・コンサルティング・分析等を担当しています。

あわせて読みたい