ITコーディネータの吉田聖書です。
私たちは好むと好まざるとに関わらず、
毎日何かしらのIDとパスワードを入力して暮らしています。
不正アクセスのニュースが流れるたびに
「パスワードの強度を上げろ」「パスワードを定期的に変更しろ」といった掛け声がなされます。
今回はパスワードの強度について考えてみましょう。
私が最近感じている素朴な疑問は、タイトルにも掲げた
「なぜパスワードに日本語が使えないのか?」
ということです。
20年前はともかく、今ではUnicode、符号化方式ではUTF-8が
事実上の標準とまで言える程度に普及していますので、もっと正確に表現すると、
「なぜパスワードは今でも日本語が使えないままなのか?」
ということになります。
もちろん、旧式のシステムは依然存在しますので、
それらすべてをひっくるめて対応すべきだということではなく、
「新規に構築するシステムについては、パスワードを多言語対応してもいいんじゃないか?」
ということです。
パスワードの強度というと
「推測されにくさ」=「覚えにくさ」という理解が多く見られますが、
それは人力で不正ログインを試みる場合であって、
コンピュータによる機械的な総当たり攻撃には無意味です。
総当たり攻撃というのはWikipediaにも記載がある通り、
文字の組合せを片っ端から漏れなく試していく方式で、
読みにくいかどうかは全く関係ないのです。
パスワードが長ければ組合せの数もそれだけ多くなりますし、
さらに文字種が増えれば総当たり攻撃に対する時間稼ぎができます。
ただ、短い文字数のままで日本語を使ったとすると
簡単な単語しか登録することが出来ませんから、
辞書に掲載されているような単語が使われやすくなることが想定されます。
ですので、辞書攻撃にも対応できるように、パスワードの最大長を増やして
ちょっとした文章くらいの長さを使用できるようにすることも必要です。
何より、Unicodeであればすべてが日本語である必要すらありませんので、
様々な言語を混ぜたパスワードを設定すれば、
推測による攻撃に対しても強度を上げることが出来ます。
もはやパスワードに使える文字をASCII文字(いわゆる英数字と記号)に限定する
合理的な理由は見当たらないように思えます。
これから新たにシステムを構築する、
そんなプロジェクトのリーダーや設計者になった方は
パスワードを他の項目と同様に多言語化することを検討してみてください。
パスワードの強度や変更について、ちょうど引用しようと思っていた記事を失念してしまいまして、もっと分かりやすい記事を見つけましたので参考までにリンクしておきます。
パスワードは定期的に変更してはいけないのか、デジタルネイティブの末路
Unicodeについての参考サイトもリンクしておきます。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。