パスワードとのつきあい方--デジタル時代の「頭痛の種」と向かい合う

　パスワードは風邪のようなものだ。頭痛を招き、誰も逃れることができず、特効薬も見当たらない。

　しかし、パスワードはこのデジタルデータの時代には不可欠だ。支払いからメモの受け渡し、写真の共有まで、ユーザーアカウントを使ってオンラインで行われているが、ユーザーアカウントを使うには、ユーザーが本当に名乗った通りの人物であることを証明する必要がある。パスワードは、覚えやすく、しかも推測が難しいものでなければならないため、誰もがご存知のパスワード問題を引き起こしている。

　BT Counterpaneの最高技術責任者であるBruce Schneier氏は、このような状況について、自身のブログで、「これはやっかいな問題だ。パスワードは概して役に立たなくなっている」と書いている。

　しかし、オンライン認証を処理する新しい方法が必要だということでは意見が一致しているにも関わらず、パスワードに関しては、10年以上、ほとんど変わっていない。実際、問題は、CNET Newsが前にこの問題を取り上げた2002年のときとまったく同じだ。

　セキュリティ会社であるVeracodeのCTO、Chris Wysopal氏は、「パスワードの使いやすさ、手軽さに勝るものはない。パスワードはすべて10年前と同じアルゴリズムを使って内部に記憶されているため、パスワードクラッカーは今なお有効であり、まったく変わる必要もなかった」と述べている。

　Cryptography Researchの社長であるPaul Kocher氏は、「パスワードほどシンプルで、サーバ側で使えるテクノロジは他にない。しかし、マイナス面もある。便利さでは優れているが、私たちは長いパスワードをずっと記憶し続けることはできない」と語っている。

　変化したのは、数百万人以上がインターネットを使い、機密データを格納し、より多くのパスワードを記憶しなければならず、パスワード問題が急激に悪化したということだ。その結果、ほとんどの人が同じパスワードを再利用し、他のアカウントを危険にさらしている。

　Microsoftが2007年に発表した調査報告書（PDF）によれば、平均的なコンピュータユーザーが所有するパスワードの数は6.5個で、これらはそれぞれ4つのサイトで共有されている。また、パスワードが必要なアカウントは約25個となっている。

　また、1人当たり1日平均8個のパスワードを入力していると、報告書には書かれている。

　つまり、覚えなければならないウェブサイト、ユーザー名、パスワードのリストは膨大なものになるということだ。多くの人たちが、パスワードをメモ帳に記入して机の上に置いているか、付せんに書いてコンピュータのディスプレイに貼り付けている。この方法は、無遠慮な客が家の中を歩き回り、あなたの銀行口座に簡単にアクセスできるか試してみようとしない限り、自宅でならば有効かもしれないが、職場では安全性はさらに低くなる。

　PasswordResearch.comを立ち上げたセキュリティコンサルタントのBruce K. Marshall氏は、自身のブログで、新しいパスワードを紙切れに書いて、財布の中にしまっておくのは大丈夫だと書いている。しかし、ウェブサイトなど、身元がわかる情報を一緒に記載すべきではなく、2〜3週間のうちに記憶し、破棄すべきだと述べている。

　多くのセキュリティ専門家は、Amazon.comやPayPalのように強力なパスワードが必要なサイトと、The New York Timesや個人ブログのように強力なパスワードが不要なサイトを区別していると述べる。覚えやすいパスワードを機密情報をホストしていないサイトで再利用するのはかまわないが、機密情報を扱うサイトでは、それぞれ強力なパスワードを使うべきだと、専門家は言う。