お使いのOS・ブラウザでは、本サイトを適切に閲覧できない可能性があります。最新のブラウザをご利用ください。

放送中

放送中


  • 放送ログ
  • 音声あり

「記号を使う」「定期変更する」今までのパスワードのルールが間違いだった?

森本毅郎 スタンバイ!

きょうは、今まで常識とされてきたパスワード(PW)のルールが間違いだったかもしれない、ということについて、9月18日TBSラジオ「森本毅郎・スタンバイ!」(月~金、6:30~8:30)の「現場にアタック」で取材報告しました。

パスワードを強化するために、これまでは「定期的にパスワードを変更しましょう」とか、「記号を入れて複雑にしましょう」と言われてきましたが、先日、それを提唱したアメリカの研究者が、この提唱について「深く後悔している」と告白したんです。どういうことなのか?ITジャーナリストの三上洋さんに伺いました。

★ルール提唱者がまさかの告白!PWの「定期変更」「記号使用」は逆効果?

ITジャーナリスト 三上洋さん
パスワードを管理する際のルールの1つが、『定期的に変更しましょう』というものでした。定期的に変更することで、気がつかないうちにハッキングの被害を受けたとしても、自分を守ることが出来ます。さらに『記号を入れる』ことで文字の種類が増えるので、ランダムな攻撃に対しとても強いパスワードが出来ます。ですが、こういったルールを作ったアメリカのビル・バーという人が、『これは逆効果だった』と、今年退職して告白したんです。
森本毅郎スタンバイ

パスワードの設定、毎回悩まされる方も多いのでは…?

告白したのはアメリカ国立標準技術研究所(通称“ニスト”)に勤務していたビル・バーという方。ビル・バーさんは2003年、「パスワードを作ったり変更したりする時のガイドライン」として、「定期的にパスワードを変更する」「記号を入れる」などのルールを考案し、このルールはニストを通じて世界中に知れ渡りました。

★些細な変更は意味なし!「定期変更」「記号使用」の落とし穴

しかし、今年に入り、ビル・バーさん本人が「自分がしたことの多くを後悔してる」とウォール・ストリート・ジャーナルで明らかにしたということなんです。では何がどう間違っていたのか?再び三上さんのお話です。

ITジャーナリスト 三上洋さん
定期的に変更すると、例えば末尾を“001”や“002”にするなど単純なパスワードを連番で作ってしまいがちで、変更するたびに推測されやすいパスワードが出来てしまう。
また、使い慣れていない記号を使うときも、例えばアルファベットの“a”を“@”にしたり、“I”を“!”に置き変えたりと、一部を記号に変えただけの単純なものを作ってしまう。結果として、記号を入れても、単純なパスワードに変わりないということです。

「定期的にパスワードを変更」したり、「記号を入れる」こと自体を否定している訳ではありません。“アルファベットの大文字”“小文字”“数字”“記号”を組み合わせた複雑なパスワードをサイトごとに考え、それを覚えていられる人であれば、このルールに従うに越したことはないそうです。

ですが、多くの人は「定期的に変更しなさい」と言われると、ついつい覚えやすいパスワードを使い回し、末尾に“001”や“002”などの番号をふるだけの単純な作りにしてしまいます。また、「記号を入れなさい」と言われても、“password”を“p@ssword”にするなど、単純に似ている記号に置き換えることが多いので、複雑にしているつもりが結局は推測されやすいまま…。強いパスワードを作ったつもりでも、実は意味がなかったということでした。

★PWに記号を使うことで安心している人も

ではみなさん、「セキュリティ上強いパスパード」とは、どのようなものと考えているのか。街の方に聞きました。

●「アルファベットと数字と記号の組み合わせが、一番強いパスワードかな。単純じゃない方がなんかあった時に簡単に見破られないと思うので。
●「英語、数字、記号の組み合わせが、セキュリティーのレベルが強いと思う。“?”を入れると強度が高くなるから、私はよく入れます。
●「@”とか記号を入れます。複雑にしたほうが良いって言うじゃないですか。

パスワードを複雑にするため、実際に、“?”“@”“!”などの記号を使っている人がいた一方、「覚えられないので使ってない」という人もいました。また、多くの人が、頻繁に変更することを良しとしていました。

★「できるだけ長く」「サイトごとにパスワードを変える」が身を守る方法

これを、いまさら意味がないと言われても困ってしまうんですが…。
一体何に気をつけてパスワードを作成すれば良いのか?最後に、三上さんはこんなことを仰っていました。

ITジャーナリスト 三上洋さん
パスワードの設定方法で、『これをやればパーフェクト』というのはない。100個のパスワードを全部別々に、ランダムなものとして設定し、且つ定期的に変更しましょうというのが一番だが、今の人間には管理できない。時代に合わせてルールは変えた方が安全性は高まるが、妥協策が時代によって変わってくるのは、仕方のないこと。
ただし2つだけ。①『ひたすら長くする』ことは有効です。そして、②『1つ1つのサービスごとに別々のパスワードを作る』のも、絶対に必要なルールです。

強いパスワードをめぐっては、現在でも様々な議論が行われており正解はないそうなんですが、三上さんによると、文字の数をなるべく長いものにして、1つ1つのサービス(SNSやメール、サイト)ごとにパスワードを変えるというのは、最低限、必要なルールということでした。

田中ひとみ

田中ひとみが「現場にアタック」でリポートしました!