2005-02
07
00:09:00
パスワードとパスフレーズ(後編)


前回記事からの続きです。
さて、では最後の三番目の理由だが、これは全く単純な話だ。
果たして皆さんはそもそもパスフレーズを使えるシステムを現在使っているだろうか。
少なくとも僕は思いつく限り使っていない。または使えていない。


例を挙げてみよう。
以下は自身で調べられた範囲の銀行やカード会社のオンラインサイトで使用できるパスワード種類の例だ。

銀行
A社 6-12文字の半角英数字
B社 6文字の英数字
クレジットカード
C社 6-12文字の半角英数字
D社 6-8文字の半角英数字
E社 6-8文字の半角英数字
証券会社
F社 4文字の半角英数字

ご覧のようにいずれのシステムも「パスワード」のみ想定しており、ほとんどの場合「パスワード」はせいぜい6から12文字程度までに限られている。ひどいところでは4文字だけに制限されていたりする。
またB社ではご丁寧にもabcや777などの連続文字を使えなくしている。確率論的にはそれだけ辞書攻撃が成功する確率が増しているだけだと思うのだが。
つまり「パスフレーズ」を入力しようとしても実際には利用できないようにシステムが制限してしまっているのだ。
これはかなり不思議な現象だとも言える。
果たして「パスワード」が最大8文字までであることや英字と数字双方が含まれていること、特定パターンが含まれないことなどを確認するのと、最大100文字程度まで広げて使用文字はユーザーに任せてしまうのと、どちらが手間無く、また「合言葉」としてユーザーにも優しく強固だろうか。
この横並び現象はまさしくシステム側に「パスフレーズ」という発想が全く無いことを示す証左とも言えるだろう。
すなわち、パスワードとはこうでなければならないという先入観と、他もそうだからという横並び意識による安堵感のなせる技とも言えないだろうか。
であるならば、それはシステム開発者側のまさしく怠慢だとも言える。
自戒も込めて言おう。
近年、銀行カードのスキミング被害と銀行側の対応が問題になったり、それに伴い生体認証が導入されつつあるなど、現実世界でのセキュリティの話題は事欠かない。
そうした方向性に何ら反対するものではない。
けれどちょっと立ち止まって考えてみていいのではとも思う。
これまで、このような横並びの状況を作ってきた組織で生体認証でも何でも導入するのはいいが、それは今までのシステムが脆弱だったためという言い訳をしたいだけなんじゃないの?とも思う。
そして何も防げず何も対処出来なかった責任を転嫁したいためのアクションなのではないかとも思う。
そしてまた、未だそれほど実績の無い生体認証などのシステムで、もし仮に再び脆弱性が明らかになった場合、そんな組織は一体どのような反応を見せるだろうか。
これはパスワードにまつわるちょっとした工夫でしかない。
しかし、先入観や横並び意識の塊の組織には絶対発想出来ない工夫でもある。
大規模なセキュリティシステムに期待するのも構わない。しかし、現場で働くエンジニアであるならばこうした僅かな工夫から、工数も手間もコストもさほどかけずに大きなメリットが得られる部分も、幾らでも転がっているはずだ。
パスフレーズに限らなくても、少しだけ振り返ったりもう少し考え方を変えて周りを見直してみようかな、と僕は自戒を込めて思っている。

コメントを残す

メールアドレスが公開されることはありません。

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください