なぜパスワードに日本語が使えないのか?


ITコーディネータの吉田聖書よしだみふみです。

私たちは好むと好まざるとに関わらず、
毎日何かしらのIDとパスワードを入力して暮らしています。
不正アクセスのニュースが流れるたびに
「パスワードの強度を上げろ」「パスワードを定期的に変更しろ」といった掛け声がなされます。
今回はパスワードの強度について考えてみましょう。

私が最近感じている素朴な疑問は、タイトルにも掲げた
「なぜパスワードに日本語が使えないのか?」
ということです。

20年前はともかく、今ではUnicode、符号化方式ではUTF-8が
事実上の標準とまで言える程度に普及していますので、もっと正確に表現すると、
「なぜパスワードは今でも日本語が使えないままなのか?」
ということになります。

もちろん、旧式のシステムは依然存在しますので、
それらすべてをひっくるめて対応すべきだということではなく、
新規に構築するシステムについては、パスワードを多言語対応してもいいんじゃないか?」
ということです。

パスワードの強度というと
「推測されにくさ」=「覚えにくさ」という理解が多く見られますが、
それは人力で不正ログインを試みる場合であって、
コンピュータによる機械的な総当たり攻撃には無意味です。

総当たり攻撃というのはWikipediaにも記載がある通り、
文字の組合せを片っ端から漏れなく試していく方式で、
読みにくいかどうかは全く関係ないのです。
パスワードが長ければ組合せの数もそれだけ多くなりますし、
さらに文字種が増えれば総当たり攻撃に対する時間稼ぎができます。

ただ、短い文字数のままで日本語を使ったとすると
簡単な単語しか登録することが出来ませんから、
辞書に掲載されているような単語が使われやすくなることが想定されます。
ですので、辞書攻撃にも対応できるように、パスワードの最大長を増やして
ちょっとした文章くらいの長さを使用できるようにすることも必要です。

何より、Unicodeであればすべてが日本語である必要すらありませんので、
様々な言語を混ぜたパスワードを設定すれば、
推測による攻撃に対しても強度を上げることが出来ます。

もはやパスワードに使える文字をASCII文字(いわゆる英数字と記号)に限定する
合理的な理由は見当たらないように思えます。

これから新たにシステムを構築する、
そんなプロジェクトのリーダーや設計者になった方は
パスワードを他の項目と同様に多言語化することを検討してみてください。


パスワードの強度や変更について、ちょうど引用しようと思っていた記事を失念してしまいまして、もっと分かりやすい記事を見つけましたので参考までにリンクしておきます。

パスワードは定期的に変更してはいけないのか、デジタルネイティブの末路

Unicodeについての参考サイトもリンクしておきます。

Unicodeとは? その歴史と進化、開発者向け基礎知識


ここでお知らせです。

25~35歳くらいの現場リーダーを対象に、
「理解されやすい業務フロー」を作るワークショップを開催します。
業務フローは業務の見える化には欠かせない基礎的な図式で、
これが書ける・読めるようになると
現場の業務改善・業務改革に役立ちます。

是非若いうちに身に着けておきませんか。

詳細・お申込みはこちらのopnlab社のサイトにて。


Comments are closed.