マイクロソフト会長ビル・ゲイツ氏は、パスワードの終焉を宣言した。彼は聴衆に対し、パスワードは機密情報を保護するという課題を解決できないと述べ、「人々は異なるシステムで同じパスワードを使い回したり、それを書き留めたりしている。真に保護したい情報には、パスワードでは到底対応できない」と付け加えた。
それは6年前の2004年RSAセキュリティカンファレンスでのことでした。サミュエル・クレメンスの言葉を引用すると、パスワードの終焉という噂は大げさに誇張されていると言えます。パスワードは今でも、データ、アカウント、そしてコンピュータ上のほぼすべてのものを保護するための主要なセキュリティ対策です。
ゲイツ氏がパスワードの終焉を予測するのは時期尚早だったかもしれないが、パスワードがセキュリティ対策として不十分である理由についての彼の評価は正確だった。Rockyou.comがハッキングされた際に漏洩した3000万件以上のパスワードを調査したところ、そのほぼ半数が名前、一般的な辞書用語、あるいは「qwerty」のような連続した文字を使用していることが判明した。
指紋スキャナーなどの生体認証技術はますます普及しつつあります。しかし、当面の間、パスワードはハッカーとデータの間の主要な障壁であり続けるでしょう。そこで、12345ステップで覚えられる、安全なパスワードを作成する方法をご紹介します。
1.個人情報なし。初心者のハッカーでも、あなたの氏名、配偶者や子供の名前、ペット、お気に入りのスポーツチームなどを簡単に見つけ出すことができます。決して個人情報に関わるパスワードは選ばないでください。
2.実在する単語は使わない。さらに一歩踏み込んで考えてみましょう。自分の名前やペットの名前を使うのは避けるべきですが、辞書に載っているような実在する単語も避けるべきです。そのようなパスワードは、パスワードソフトウェアで簡単に解読されてしまいます。
3.文字種を混ぜる。パスワードはほとんどの場合、大文字と小文字が区別されるため、より複雑にするために大文字と小文字の両方を使うのがおすすめです。さらに複雑にしたい場合は、最初の文字を大文字にするだけでなく、もっと工夫しましょう。例えば、「Password」ではなく「paSswoRd」とします。さらに良いのは、文字の代わりに数字や特殊文字をいくつか加えて「p@Ssw0Rd」のようにすることです。
4.パスフレーズを使う…いや、それは勘弁。パスワード解読ユーティリティの中には、一般的な単語の代わりに一般的な文字を代用する賢いものもある。「p@ssw0rd」の解読は「password」の解読よりも時間がかかるかもしれないが、特殊文字の有無に関わらずパスワードは「password」なので、比較的簡単に解読できるだろう。
代わりに、映画、歌、本などのお気に入りのセリフをパスフレーズに変換してみましょう。例えば、『ア・フュー・グッドメン』のジャック・ニコルソンが証言台に立つシーンが好きなら、「真実が欲しいのか?真実は耐えられない!」というセリフを「Ywtt?Ychtt!」に変換してみましょう。大文字と小文字、そして特殊文字も含まれています。辞書には載っていない単語ですが、覚えやすいでしょう。
5.ツールを使う。ユーザーが簡単に破られるパスワードを選ぶ主な理由は、覚えやすいパスワードを選びたいからです。「a5$jgFD118@Kle45@」を思い出すよりも、犬の名前を覚えたり、「123456」のようにキーボードに表示されている順番に文字を入力したりする方がはるかに簡単です。しかし、どちらがより安全だと思いますか?
複雑なパスワードを保存するには、パスワード管理ツールを使うことができます。パスワード管理ツールにアクセスするためのパスワードを解読すると、残りのすべてのパスワードにアクセスできるようになるため、セキュリティには多少の影響がありますが、すべてのパスワードを記憶する必要なく、さまざまなWebサイト、アカウント、アプリケーションでより強力なパスワードを使用できるようになります。
Windows XP以降、Windowsには資格情報マネージャーユーティリティが搭載されており、ユーザーはパスワードを保存し、シングルサインオンソリューションを利用できます。Windowsにログインすると資格情報保管庫のロックが解除され、サイトやアプリケーションへのアクセスに必要な資格情報が自動的に保管庫から適用されます。
Tony Bradley は@Tony_BradleyPCWとしてツイートしており、彼のFacebook ページで連絡を取ることもできます。
