パスワードの安全性より
利便性が優先されている
「強力なパスワードを使いなさい」というメッセージは、デジタル世界において「日焼け止めを塗りなさい」と同じような意味を持つ。よいアドバイスであることは誰もが知っているものの、実際に従う人はほとんどいない。それどころか、たいていの人は覚えやすいパスワードを使い、最後に「!」をつけたり、「a」の代わりに「@」を使ったりする。最もよく使われるパスワードが「P@sword!」であるのには、もっともな理由があるのだ。
もちろん、それくらいの工夫では、ほとんどの企業において不正侵入リスクは小さくならない。残念ながら、パスワードの安全性に関する問題は、依然として過小評価され続けている。そして、企業がセキュリティの強化を図るうえで、最も大きな問題の一つが、従業員にきちんとパスワードを管理させることである。
ここで問題になるのは、人間が複雑な性質の持ち主であることだ。多くの人は、アカウントごとに複雑なパスワードを考えて覚えることに、貴重なエネルギーを費やしたくないのはもちろん、パスワードを思い出せず、イライラする気分を味わいたくないと思っている。だからこそ、複雑で(したがって安全な)パスワードではなく、シンプルで使い慣れたパスワードが常に選ばれる。悲しいかな、パスワードの設定において人間は、安全性よりも利便性を優先する。パスワードの神様が私たちを許してくれるといいのだが。
こうした対応が実際どのような展開を招くのか、説明しよう。多くの人は、ブルートフォース(総当たり)攻撃を受けやすい脆弱なパスワードや、同じパスワードを使い回すリスクを知っているが、その両方を繰り返し使っている。2019年のグーグルの調査によると、ユーザーの52%以上がパスワードを使い回し、約13%がすべてのアカウントで同じパスワードを使っていることを認めた。また、68%は忘れることを恐れて同じパスワードを使っているとしており、36%は自分のアカウントには厳しいセキュリティ対策が必要なほどの価値はないと考えていることがわかった。
では、企業はどうすればいいのか。幸い、これは最強のセキュリティ対策を講じるか、何もしないかのどちらかを選ぶという問題ではない。企業は自社の従業員とって最も効果的で、従業員が実際に従うようなアプローチを見つける必要がある。ここでは、マネジャーとIT部門が従業員やチームと共有すべき5つのアドバイスを紹介しよう。これらのアドバイスは、状況に応じて適切な保護レベルを見極めるのに役立つはずだ。
レベル1:使い捨てパスワード
使い捨て(ワンタイム)パスワードとは、使い捨てメールアドレスで使われるパスワードのことだ。もしあなたが、何かの無料トライアルを利用するために使い捨てのメールアドレスをつくったことがあるなら、考え方はほぼ同じだ。
こうした一度きりしか使わないアカウントは、たちまち頼んでもいないDMが延々と送られてくることがわかっていれば、特に役に立つ(「配信停止」ボタンは効果がない)。こうしたアカウントに使う重要でないパスワードは、重要でないところが防御策になる。盗まれたり、アカウントがハッキングされても、重要情報やパスワードが失われることはないし、重要なアカウントやパスワードが危険にさらされることはない。
このようなアカウントには、何か単語や文字列、特殊文字のようなシンプルなパスワードを使えばいい。たとえば、「Frodo123!」などだ。ただし、ほかのメールアカウントでこのパスワードをけっして使わないこと。シンプルなパスワードを複数のプラットフォームで使い回せば、一巻の終わりになりかねない。
レベル2:パスフレーズ
4文字や5文字のパスワードは、たとえ数字とアルファベットと記号を組み合わせても脆弱だ。このため、いまは最低でも12文字以上のパスワードが推奨されている。ただ、長くて複雑なパスワードをいくつも覚えるのは大変だ。そこでパスフレーズの出番となる。
パスフレーズは、シンプルな1語のパスワードよりも長いが、覚えやすい。ほとんどの人は、文字数を増やすために、単語ではなくパスワードフレーズを使うことになるが、ポップソングの歌詞のようなシンプルなものであってはいけない(プロのハッカーはこの戦略をよく知っている)。「everybreathyoutake」や「oopsididitagain」、「igottafeeling」など大ヒット曲のタイトルは、ハッキングしてくれと言っているようなものだ。
さらによい対策は、特にX世代の人だとピンとくるかもしれない。「In1984VanH@lenRock$!」(「ヴァン・ヘイレンの『1984』は最高だった!」)などのフレーズだ。優れたパスワード管理という点で最強とはいえないが、この先で説明する、さらに強力な保護機能をもたらしてくれるようなパスワードを使う習慣のない人には便利だろう。
