07_最悪のパスワード

「パスワードだけでよくない？」は平成でおしまい！令和のセキュリティ管理とは？

プライバシーやセキュリティを担保するためにヒトが作った「鍵」という文明。
最古の鍵は木製で、なんと紀元前2000年ごろには存在していたと言われています。
現代においても家のドア、銀行の金庫、秘密の日記帳 などなど、身の回りに数多く存在する「鍵」ではありますが、実体を持たないものも多く生み出され、そして利用されております。

その最たるものが「パスワード」。
こちらも実体を持った鍵ほどではありませんが歴史は古く、紀元前200年ごろのローマにて軍隊が言葉のパスワード、つまり「合言葉」という形で利用していたという記録が残されています。

モノとして残らない「パスワード」はIT世界との親和性も高く、パソコンそのものからWebサービスまで、ありとあらゆるモノで利用されています。
利便性、セキュリティ性の面からも非常に有用な「パスワード」という鍵ですが、この「ありとあらゆるモノ」で利用されていることがネックとなりうる側面もあります。

「覚えるのが面倒なので紙に書いて貼っている」
「忘れないように自分の誕生日をそのまま使っている」

身に覚えのある人も少なくないのではないでしょうか。
「いくらなんでもさすがに自分の誕生日をパスワードには使わないよ」と鼻で笑った方も、複数のサービスで同じパスワードを使いまわすことをしてはいませんか？
1つのサービスでパスワードが盗まれるだけで、あなたが利用しているすべてのサービスのセキュリティが突破されてしまう、という意味では、誕生日のようなわかりやすい文字列を使っている人より、ひどい目に合ってしまう可能性すらあるということです。

ちなみに2020年発表の最悪のパスワード、堂々の1位は”123456”だそうです。
「いくらなんでもひどすぎる！同じ6桁の数字なら”147258”ぐらい複雑にしないと！」と思った方もご注意ください。この一見すると意味不明な文字列ですら同年89位にランクインしています。
(なんでこの文字列が89位？と思った方へのヒントは「キーボード」。それでもわからない場合は電卓を見てください)

Microsoftは長年、パスワードの盗難への対抗策として「定期的な変更」を推奨してきましたが、それも今は昔の話。
2016年の米連邦取引委員会の発表を受け、2019年にはMicrosoftもパスワードの定期的な変更を促す有効期限の設定を推奨事項から削除しました。
盗難された瞬間にそのパスワードを利用されてしまう可能性が高いWebサービスなどでは定期的なパスワードの変更は何の対策にもならないのです。

パスワードを「盗ませない」ように管理することはもちろん重要ですが、どうしてもそこには人的要因による漏洩の危険性がついてまわります。パソコンのモニターに貼られた付箋を片っ端から剥がして回るのは社内SEの仕事ではありません。

そもそも「盗めない鍵」を利用することこそ令和のセキュリティ対策と言えましょう。
盗むことのできない指紋や顔を使った「生体認証」や複数の認証方法を組み合わせることで盗難による不正認証の危険性を限りなく下げる「多要素認証」の導入の重要性が声高に叫ばれるようにはなりましたが、機材や社内システムの都合でなかなか導入までの敷居が高いのが現実です。
セキュリティ対策が必要なのはわかっているけれどもなかなか手が進まなくお困りの方は、是非一度、ヒューマンテクノロジーズまでご相談ください。
お客様に合ったベストな運用をご提案いたします。

ちなみに先述のローマ軍が用いた合言葉システム、記録によるとどうも毎日変更されていたそうな。当時最強だったローマの強さを、セキュリティ意識の高さからもうかがい知ることができますね。

より詳細をご希望でしたらこちらからお問い合わせ下さい。