「最悪なパスワード」首位交代の理由を考える


この記事の所要時間: 350秒 〜 450秒程度(2154文字)


複雑なパスワードの利用が推奨されて久しいが、とうとう安易なパスワードの首位が交代した。これまで1位だった「password」を「123456」が逆転したのだ。
 
データは「盗まれてインターネットに掲載されたパスワードのファイルを分析した結果」でしかないので「手続き」としての代表性はない。しかし、実際的には、上位になったパスワードが一般に多く使われていると考えて間違いないだろう。Adobeの流出によって「adobe123」が増えたとしても、そういう個別事象の影響は限られている。対象とするパスワードの選定に大きな作為がないと考えられる限り、一定の信頼はできる。
 
さて、このデータを信じるとして、安易なパスワード = 運営者側にとって「最悪なパスワード」の首位が交代した理由はどこにあるのだろうか。少し考えてみた。
 

Photo credit : Ron Bennetts / CC BY

Photo credit : Ron Bennetts / CC BY

 


考えられる3つの理由


理由としてまず思い付くのは、「スマートフォン普及」の影響だろう。スマートフォンの文字入力機能は日々改善されているものの、パソコンのキーボードと較べれればまだまだ使い難い。そして、スマートフォンで入力し易いのは圧倒的に数字だ。「password」と「123456」では入力の手間がかなり違う。安易なパスワードを使う人は面倒臭がりだろうから、この手間を惜しんで「123456」にしていると考えることができる。
 
また、「インターネット利用者の地域的な拡大」も影響がありそうだ。英語圏の人とそれ以外の言語圏の人で使用するパスワードを比較したら、前者の方が英語のパスワードが多いだろう。あくまで推測に過ぎないが、極めて自然にそうなると考えられる。この場合、英語圏以外の地域のインターネット利用者が増えれば増える程、「passsword」が使われ難くなり、「123456」が使われ易くなる。こんなことも影響していそうだ。
 
更に言えば、「インターネット利用者の裾野の広がり」も理由になる。インターネット利用者に、パソコンやスマートフォンにあまり詳しくない人がだんだん増えているのは、長く続く傾向と言え間違いないだろう。そして、パソコン等に強くないユーザーは「password」より「123456」を好みそうだ。もちろん真偽の程は定かでないが、こんな可能性もあり得るだろう。
 
大量のパスワードと属性情報を持っている企業があれば、これらの傾向は検証できる。利用するパスワードに差が出ると思われる層別に集計を掛けるだけだ。この傾向がわかって何になるかは覚束ないが、今後のパスワード対策を考えるための基礎として確認して損はないように思う。
 


運営者側ができる対策は・・・


さて、「最悪のパスワード」を減らすため、運営者側は何ができるだろうか。パスワード強化の啓蒙は素晴らしいものの、それだけでは効果が限定的だ。もう少し現実的な方法を考えてみたい。
 
ひとつ思い付くのが、パスワードに数桁の文字列を強制的に加えることだ。例えば、冒頭3文字を運営者側が指定すればいい。アカウント登録すると、運営者側がランダムに指定した酷く難解なパスワードが送られてくることがある。きっと「最良のパスワード」なのだろうが、アレを覚えて使うのは困難だ。しかし、3文字程度なら覚えられるだろう。最初の3文字だけでも複雑なパスワードにすれば、その後に続くパスワードが「123456」でも、多少はセキュリティが向上する筈だ。a〜zと1〜0で36文字、そこに記号も加えて合計50文字程度にすれば3文字で10万通りを超える。多少はマシになるだろう。
 
後は、人間の「損をしたくない」という心理につけ込む手もある。パスワード登録をするときにそのパスワードの強度を評価するサイトは多いのだから、「パスワードが「強」にならないと機能Aと機能Bは使えません」とすればよい。人間は損することを強く嫌うので、パスワードの強化につながる可能性がある。「そんなことをしたら登録数が減る」という懸念で実行できないのだろうが、本当にセキュリティを考えるなら一案なのではないだろうか。
 


そもそもパスワードに頼ることが間違い!?


最近の動きを見ていて感じるのは、そもそもパスワードに頼ることが間違いということ。特定の文字列などという複製も推測も可能なもので個人を認証していては限界がある。究極的には、指紋や画像認識などを使った新しい認証技術に期待するしかないのだろう。
 
とは言え、「新しい認証技術を使うべき」と主張してもはじまらない。目の前にある現実のインターネットではパスワードを使うことが必須だからだ。面倒な事態に巻き込まれたくなかったら、難しいパスワードを利用し続けるしかないようだ。かなり憂鬱な気分になるが、これも現代人のリテラシーなのだろう。新しい認証技術の浸透に期待しつつ、毎日毎日面倒なパスワードを入力するしかない。

  1. コメントはまだありません。

  1. トラックバックはまだありません。

This blog is kept spam free by WP-SpamFree.