パスワードが思い付かない

パソコンを単独で使っている頃にはパスワードなんていらなかったのに、今では私の回りにはパスワードが溢れています。忘れちゃうからって、メモして人目につかないところに置いているのですが、古いメモも捨てないでおくから、パスワードのメモが溜っちゃう。多分、このメモを誰かがみて不法アクセスしようとしても、該当するメモを見つけるまでに疲れてしまうでしょうね。こう考えると、パスワードというシステム自体に、インターネットでの認証方法として限界があるのではないかと思うのですが。でも、それにかわる方法を提案しているという話は聞こえてきません。

UNIX系の計算機ではパスワードを特別な文字コードに変換して保存します。このとき文字列は、逆変換できないような方法で生成されるので、パスワードが保存されているファイルを盗んでも、そこからすぐには元の文字列を復元できない仕組みになっています。そこで、よくやられる方法が、ありがちな文字列を同じ方法で変換して、一致する文字コードを探すやり方です。これは、一見大変そうですが、プログラムと辞書データがあれば、あとは計算機任せにできます。特に、パスワードが"password"だったり、アカウント名と同じ人って、意外に多いらしいので(^_^;、ユーザーの多いシステムだと、プログラムなしでも誰かのアカウントを盗むことが可能かもしれません。マネージャー用に、こうしたいい加減なパスワードを調べるツールというのもあって、時々走らせては該当者を指導する訳ですが、それでも、いい加減なパスワードは減りません。なぜかって、文字列は無限にあっても、自分が思い出せる言葉で、他人が類推できない言葉を探すのは意外と面倒だからです。

クラッキングされにくいパスワードを作るにあたっては、例えば、

  • 大文字・小文字を混ぜる
  • !#$などの記号を混ぜる
  • 複数の言葉や数字列を組み合わせる
  • 後ろで見られていても記憶できないほどすばやく入力できる
なんてことがいわれています。ま、この内のひとつでもやっておけば、不法使用の予防にはなるでしょう。でも、こうした条件を満たしつつ、さらに自分で思い出すことができる文字列ってのは、なかなかありません。だから、多くの人は、親戚の名前とか、好きな食べ物とかを使うようになりますね(^_^)。思い出しやすいですから、それは、それで良い方法だとは思います。でも、親戚の数も限度がありますから、無限にそれが使えるわけでもないのです。食べ物の名前なんて、クラッキング用の辞書に載っていそうですしね。

そんな訳で、私なんかも毎回、頭をひねってパスワードを作るわけですが、一方で、パスワードは定期的に変えろと言われるので、せっかく作っても定期的にすてなくてはいけません。biglobeの利用案内には、

  • 数ヶ月に一回は変更すること
  • 暗記して、どこかに書き留めたりなどはしないこと
  • 本人だけが暗記できるパスワードにすること
なんて書いてあります。あれ、暗記しなくちゃいけないの。無理だよー(^_^;、biglobeのパスワードだって、アクセスポイントのと、PC-VANのと、自分のホームページのと3つもあるんだから。その他にも、メールアカウントだって複数あるし、職場のワークステーションのもあるし、オンラインショッピングのパスワードもあるでしょ。暗記しろったって無理ってもんですよ。特に、ダイヤルアップのパスワードみたいに、パソコンに覚えさせとくのは、すぐに忘れちゃうもんね。それに加えて、年に2〜3回も全部のパスワードを変えてたら、毎年何十個もパスワードを作って、それを変えるたびに暗記しなくちゃいけませんよね。それとも、全部同じパスワードに統一しちゃえばよいのかな。それも、一回ばれたら全部に使えちゃうわけで、なんか危ないように思いますけど。みんな、どうやってるんだろ。私の使っている、あるシステムでは、定期的にパスワードの変更を求められます。変えないと使えなくなるらしい。biglobeがそうなったら、たまらんなぁ。月初めの一日は、パスワードを暗記する日になってしまったりして。定期的に、パスワードを変えるってことの意味は、万が一にも盗まれたときに、被害を最小にとどめるってことでしょうね。でも、それがために、盗まれやすい安易なパスワードが増えるのもどんなもんでしょうね。やっぱ、暗記しなさいってのは勘弁して欲しいな。アクセスポイントとか電子メールのパスワードみたいに、パソコンに覚えさせることができるものは、できるだけパソコンに記憶させとくのがよいのでは。だだ、これも、専門家に言わせると良くないことらしい。

1997年12月の話になりますが、パソコンのメーラーとしては、定番となっているEudoraのパスワードがディスクから盗めるという問題が話題になったことがあります。これは、Windows版のEudora ProがつかうINIファイルから、メール用のパスワードを抽出するソフトが出回っているという話でした。ネットワーク経由で盗む話ではないので、致命的な欠陥ではなかったのですが。興味深かったのは、これにからんで、製造元のクアルコムの主任技師が「ユードラにパスワードを保存するのは実に馬鹿げている」「われわれがその機能を追加したのは、熱心に要求してきたユーザーがいるからに過ぎない」と語っていることです。(原文は"Saving the password in Eudora is really a very foolish thing to do,""The only reason we allow it at all is that some users have demanded it so strenuously.")彼は、ほんとの所は、「パスワードを保存する」メニューは、付けたく無かったのね(^_^)。ここにある発想は、この機能を付けるとパスワードを盗まれるような問題がおきそうだけど、付けとかないと他の会社のソフトにシェアをとられるからなぁ、ってとこでしょう。分かりますよ、それは。だって、パスワードを保存するからには、いくら複雑に暗号化したところで盗まれる危険性を増やしているだけですもん。でもね、もし、その機能が無いとして、biglobeが指示するようにメモもだめだとすると、たやすく類推できるパスワードが増えることは目に見えてませんか。

パスワードというのは、アクセス権をその人が持っているかどうかのチェックですから、文字列を入れるという行為は、その人しか知りえない情報を示すことで個人を照合しているわけですね。そういう意味で、個人に固有のサインであれば、いくらでも他に方法がありそうなもんだと思うんですが、なかなか出てきませんね。暗号化技術とかは格段に進んでいるのに、なんでまた何年経っても、私たちはパスワードという文字列で照合しなくてはいかんのでしょうか。でも、文字列って、どんなOSでも使える最低のインタフェースだから、お手軽ではありますね。全部のパソコンにCCDカメラの内蔵を義務化して、網膜パターンをパスワードがわりに使うなんて言われちゃったら、昔のパソコンの人はネットワークにアクセスできなくなっちゃうし。そうそう、これを書いていて思ったのですが、パスワードを盗まれないために重要なのは、自分がどうやってパスワードを作っているかを、特にインターネットのBBSなんかで公表しないことですね。だから私も、上に書いたような、親戚や食べ物の名前では、パスワードを作っておりませんです(^_^)。

1999.02.26
ひとつ戻る HOME つぎに進む