Computer Technology, どーでもいいおはなし, ネモッチョのメモ帳, 実録QAエンジニア

仕方ねえからパスワードの話でもするかね?

コメントする

某日系会社御中

昨日,御社発行の会員証カードが届きました。素早い対応さすがはニッポンの大会社。ありがとうございました。

さすがの大会社様からこのようなおてまみいただき,さすがの大会社様だからそうは見えないけど,最新技術でそうは見えなくなっているだけで,きっとそうなんだと思って,爪でひっかいてみましたが,どうもそうではなかったようですね。

「パスワードの印字は個人情報保護強化の観点から非表示としております。」とのこと,ご配慮ありがとうございます。ところで二つほど,不明の点があるのですが,

まず,これ,爪で引っかいたりするとパスワードなるものが出てくるのかと思いましたが,そうでもないようです。ではここにある******というのは何か意味があるのでしょうか?非表示にしていただけるのは大変ありがたいですが,わざわざメール,しかもSnailで送っていただいたのに,結局表示するすべがないのは大変残念です。

次に,パスワードに対する英訳がPINとなっております。PINというのは確かPersonal Identification Numberで,通常4桁とか6桁の数字ですね。たとえば銀行のATMのカードなどにもPINがあり,これを使って本人認証します。

対応する日本語「パスワード」は本来「PIN」と書くべきだったのではないでしょうか?いや,PINより,これはずばり「暗証番号」ですよね?暗証番号とするのがベストだったと思います。

逆に,もしこれが本当にパスワードだったとすると,どうなります?パスワードについては御社Webサイトに大変厳格な決めごとがあり,それによると,

「英字の大文字」「英字の小文字」「数字」「記号」から2種類以上を組み合わせて8文字以上

でなくてはならないようです。こんな覚えにくいものが,もしPINになってしまったら,カードを使用する局面でおそらく大変な時間を要するでしょうし,大抵の方はそこで使用をあきらめてしまうのではないでしょうか?

さて,不詳,私,IT業界で働いておりまして,このパスワードにつき,読者の方もおりますので,少々説明を付け加えたいと思います。

まず,御社のご提示されている規定,

「英字の大文字」「英字の小文字」「数字」「記号」から2種類以上を組み合わせて8文字以上

という部分,これはパスワードをなるべく推測できないようにするという意味では,有意義な規定です。しかし,パスワード破りというのはコンピューターのパワーを使って「総当たり」で行うのが一般的です。8文字の英数字記号の組合せを片っ端からすべて試せばいいわけです。このとき大文字,小文字,数字,記号を混ぜても,パスワードの強さ(破られにくさ)はそれほど改善できません。まあ数字だけよりはいくらかいいですが,総当たりにかかれば大したことはありません。

強いパスワードを作るには,いろいろな種類の文字を使うことよりも,なるべく長くすることが重要です。現代のコンピューターパワーを使えば,8文字のパスワードを破るのに数分しかかかりません。

一般にパスワード長を12文字にすれば,解読に要する時間が数万年になり,総当たり攻撃が意味をなさなくなります。ですから,本当にセキュアなパスワードを設定させたいなら,12文字以上にするべきです。

もう一つ,今度はもうすこし軽いお話しをしましょうか?よく,パスワードを2回入れさせられる場面があります。2回入れる理由をご存じでしょうか?

これは,大抵のパスワード入力フィールドは,何を入れても写真のような*とか,黒丸しか表示されない(マスクされてしまう)ためです。つまり,打ち間違いをしていても確認する方法がない。

なぜマスクをかけるのか?それはもう,背後霊(第三者)にタイプしたパスワードを覗かれないようにするためです。今回,大会社様からいただいたお手紙もマスクがかかってますが,確かに背後霊がいても安心です。でも本人がタイプした覚えもないのに******と書かれましても,身に覚えがありませんとしか言いようがない。私はどうすることも,っあ,できゃしないわいなーでござんす。

で,話を戻しますと,実際にパスワードをタイプしてもマスクになっていて,何を本当にタイプしたか確認できない。と,そこまで話しました。そこで,妙案。2回入力することで,どちらかに打ち間違いがあっても不一致として検知でき,打ち間違えたままパスワードを設定してしまうことを防げる。とまあこういうことです。

1回しか入れる所がなくて,打ち間違えたままパスワードを設定してしまうと,またたまたま同じ打ち間違いをしない限り,そのパスワードは使えないということになります。まあ,2回打って2回とも同じところで同じ打ち間違いをしてしまえばそれまでですけどね。

まあ,とにかく2回入れれば,ほとんどの打ち間違いを検知できるということで,いいでしょう。しかし,このことを理解してなくて,変なユーザーインタフェースになっているものを時々見かけます。

一つは上記のように,パスワードを1回しか入れる所がない物。驚くことに,私が勤務する会社のメンバー登録画面がそうなっています。幸いにもパスワード変更画面の方は,新しいパスワードを2回入れるようになっていますが,最初の登録時は1回です。困ったもんです。最近,目のマークをクリックするとマスクが外れて,入力した文字が確認できるようになり,これで一件落着なのですが,実はこれが実現されているのは某有名PC向けオペレーティングシステムに付属しているデフォルトのブラウザのみ。一番多く使われている某Cブラウザでは機能しません。うーんまだまだだな。

次にマスクしてもいないのに2回同じ物を入れさせる。よくあるのがemailアドレスです。これを確認のために2回入れろというケースが多い。これって,見ればわかるので,打ち間違いを防ぐ効果は薄いでしょう。ただ,万一打ち間違えて,そのアドレスが有効なものだったら,他人にメールを送ってしまう可能性があるので,まあ,確認の意味で2回というのもうなずけます。でもメールアドレスは一般にパスワードより長いので,大抵の人はコピペして入れているのではないかと思います。2回にしてもコピペしていれば,打ち間違えないか,1回目に打ち間違え,これをそのまま二つ目のフィールドにコピペするかのどちらかでしょう。私はemailアドレスの2回入力はあんまり感心しないです。

それから,私の会社のものと違い,すべてのブラウザで目のマークをクリックするとマスクが外れるようになっているのに,相変わらず2回入れさせられる。これははっきりいって,「馬鹿なの?」と思いますね。

最後に,パスワードは現段階では本人認証のために欠かせないものではありますが,これはコンピューターやソフトウェアを開発する側の都合です。現在ほとんどの人が,たくさんのパスワードを覚えるなり,記録しておくなりしないとならないことにうんざりしているはずです。これは将来,抜本的な代替手段を作らないといけないでしょう。生体認証とか,いろいろありますけど,これはこれで問題がないわけではないし,どうしたもんでしょうかね?

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です