インターネットプランナーに聞くセキュリティ(3)パスワード

2010年10月22日 07:24 JST

【PR】有名レストラン50%引き〜クーポン情報をまとめて掲載!「グルーポンなう!」

【PJニュース 2010年10月22日】ユーザーIDとパスワードはシステムを利用する上で最も基本的な本人確認の方法である。もしパスワードが破られるならば、システムが悪用されてしまう。このため、破られにくいパスワード(強いパスワード)を設定する必要がある。強いパスワードを設定するポイントは以下の通りである。

第一にパスワードのユニークさである。辞書に掲載されているような単語はパスワードに使用すべきではない。

第二にパスワードの長さである。例えば7文字以上にすることなどが考えられる。

第三にパスワードの複雑さである。例えばパスワードにはアルファベット大文字や小文字、数値、記号を最低1字は含むようにする。

第四にパスワードの定期的な変更である。同じパスワードを長期間使用し続けると、漏洩のリスクが高まる。そのため、定期的に変更することは望ましい。例えば3ヶ月に1回は変更するようにする。

これらはユーザーが設定を心がけるだけでなく、システム側でルールとして設定することも可能である。例えば7文字未満の文字列やアルファベット大文字・小文字・数値・記号を最低1字含まない文字列をパスワードに設定できないようにする。

パスワードの定期的な変更についても、パスワードに有効期間を定めることで強制的に変更させることができる。但し、定期的な変更を求めるだけでは意味が乏しいこともある。パスワードをAAAAからBBBBに変更し、次の変更時にAAAAに戻す利用者が存在するためである。そこでシステム側でパスワードの履歴も保存し、過去に使用したパスワードを再設定できないようにする。

このように強いパスワードを設定することは可能であるが、パスワードの問題はユーザーが覚えていなければならないという点にある。複雑すぎるパスワードを設定してしまい、それを思い出すことができなければユーザー本人もシステムを使えなくなる。もし、パスワードが覚えられないために紙に記録するならば逆にパスワード漏洩のリスクが高まる。これは本末転倒である。ポストイットにユーザー名とパスワードを書いてディスプレイに貼り付けるようなことは絶対に避けなければならない。

この問題はパスワードの定期的な変更にも当てはまる。パスワードが頻繁に変更されるならば覚えられなくなる。パソコンのOSパスワードのように毎日ログインするならば問題ないが、稀にしか使わないシステムでパスワードの頻繁な変更はユーザーの負担が大きい。

そのために上述のパスワード・ポリシーが定められたとしても、覚えやすいパスワードが設定されがちである。例えば林田というユーザーならば「!Hayashida1」などが考えられる。しかも定期的なパスワード変更も「!Hayashida2」「!Hayashida3」「!Hayashida4」……という形で末尾の数値を順々に増やしていくだけという形になりがちである。セキュリティと利便性はトレードオフの関係にあり、難しい問題である。【つづく】

■個人ウェブサイト
林田力『東急不動産だまし売り裁判 こうして勝った』

■関連情報
PJニュースは一般市民からパブリック・ジャーナリスト(PJ:市民記者)を募り、市民主体型のジャーナリズムを目指すパブリック・メディアです。身近な話題から政治論議までニュースやオピニオンを幅広く提供しています。

PJ募集中!みなさんもPJに登録して身の丈にあったニュースや多くの人に伝えたいオピニオンをパブリックに伝えてみませんか。

関連記事：

タグ：