これまでの「パスワード流出対策」は、むしろハッカーの思うツボだった。
自分のTwitterで勝手に広告の投稿がされたり、ネットショッピングで頼んでもいないものが大量に送られてきたり。アカウントの乗っ取られ問題は、私の周りでもよく聞くこと。一番カンタンな対策は、「パスワードを複雑にする、定期的に変更する」が今や常識だし、ニュースでもそう報道されることが多い。
もともとこの対策を発表したのは、米国立標準技術研究所に勤めていた専門家Bill Burrさんで、それ以来世界中で使われるようになったのだとか。でも、考案から14年後の今年8月7日に、本人からまさかの告白が。
「この対策はむしろ危険でした」
オーマイガー。なんてことだ。ついこの間、Amazonのパスワード変更しちゃいましたよBurrさん。ずっと面倒臭がって変えていなかったのに、やっと実行したら「THE WALL STREET JOURNAL」でのこの告白。
もう少し詳しく説明すると、Burrさんが推奨していたのは「大文字と小文字を併用する」「数字と記号を混ぜる」「90日ごとにパスワードを変更する」という方法。例えばこんな感じ。
possible→poSSiblE / possible→po$$iBle
だけど、2003年当時の現状を調査していたわけではなく、実は1980年に書かれた論文の内容をもとにしたもので、信頼性は高くないらしい。
パスワードの変更も、良くないどころかむしろやめたほうがイイとのこと。ハッカーに、変更のパターンを見抜かれてしまう危険が生まれてしまうからだとか。
72歳になったBurrさんは、「私がしてきたことの多くを、今は後悔しています」と、インタビューに答えていた。
本当に安全なのは…?
それなら、どうすればいい?過去の対策が間違ってたとしても、4桁の誕生日が安全だとは到底思えない。Burrさんは、「長くて覚えやすいものが適している」と言ってこんなパスワードを新たに提案したようだけど。
I want to go shopping→iwanttogoshopping
単純な言葉かつ正確な文法では、あまりセキュリティが強くない。できることなら二重で設定するか、めちゃくちゃな文法で、長い文章がイイのだろう。すると今度は、覚えておく自信がない。これはもう、自分の代わりにIDやパスワードを安全に記憶しておいてくれる、パスワードマネージャーのようなシステムに頼るべき?
ハッカーVSユーザー(研究者)の戦いは、今後も続いていきそうだ。