今日は世界（ひどい）パスワード（アドバイス）デーです！

今日は世界パスワードデーです！皆さんもご存知でしょうが、パスワードの使い方を見直すよう人々に説得しようと尽力してきた努力が、PRのチャンスと捉えたある企業がソーシャルメディアにひどいアドバイスを大量に流したせいで、水の泡になってしまうのです。

今年の「ひどいパスワードアドバイス賞」は、無線通信業界のロビー団体であるCTIAに贈られます。CTIAは専用のウェブページを立ち上げ、今朝、喜びのツイートで人々に伝えました。

「今日は世界パスワードデー！PIN/パスワードを頻繁に変更しましょう」と、ハッシュタグ「PasswordDay」をフォローしている人に向けて警告が出ていました。しかし、多くの人がすぐに指摘したように、これはひどいアドバイスです。

でもちょっと待ってください。それは正しいアドバイスではないでしょうか？ セキュリティ向上のため、システム管理者は皆、数ヶ月ごとにパスワードをリセットするようにシステムを変更せざるを得なかったのではないでしょうか？

はい、しかしそれは2014年のことでした。2015年後半から、英国の諜報機関GCHQから米国の標準設定機関である国立標準技術研究所（NIST）、消費者機関である連邦取引委員会（FTC）に至るまで、世界中の政府機関から、そうしないよう強く求められました。

そうは言っても、ここ数年は、電子メール プロバイダーから、信用調査会社、ホーム センター、小売店、そしてもちろん政府機関に至るまで、企業から数十億のユーザー名とパスワードが盗まれたことで特徴づけられる年でした。

だとしたら、ユーザーに定期的にパスワードを変更してもらうのは、実際には意味がないのでしょうか？答えはイエス。そしてノー。

はい。情報が古くなり、すぐに意味を失ってしまうからです。いいえ。頻繁なリセットはリソースを消費し、人々がより単純なパスワードを使うように誘導し、ブルートフォース攻撃でパスワードを推測する悪意のある人物にとって、実際にはそれほど困難にはならないからです。

しかし、2019年にハッキングのパターンが変化し、誰もが定期的なパスワードの変更を勧めるようになり、2021年の世界パスワードデーに2018年のアドバイスを提供したある組織が非難されるようになったとしても、私たちはまったく驚かないでしょう。

パスワードに関して何をすべきかを教えてくれる組織や個人は数多くあります。NCSC、CESG、NIST、FTC、Google、Microsoft、Mozilla、Edward Snowden などがその例です。

これらすべてを踏まえると、パスワードの様々な側面、そしてしばしば矛盾するアドバイスをメタ的に考察する時が来ているのかもしれません。そして読者の皆様に、2年後には誰もが嘲笑うであろう、可能な限り最高のパスワードアドバイスを提供したいと思います。

シートベルトを締めて、出発です。

ランダムか発音可能か?

パスワードに「password」という言葉を使うのは、最も愚かな行為であることは誰もが認めるところです。しかし、いまだに多くの人がそれを使用しているため、ほとんどのパスワードシステムでは、設計者はこの言葉の使用を禁止するコードをハードコードせざるを得なくなっています。

しかし、そこから先はどうなるのでしょうか？「password1」はどれくらい優れているのでしょうか？十分に優れていると言えるでしょうか？文字を「p@ssw0rd」のように別のものに置き換えるのはどうでしょうか？確かに、客観的に見れば、その方が優れています。しかし重要なのは、もっと良い方法があるということです。そして、それは基本的に二つの選択肢に帰着します。ランダムか、発音可能なかです。

最良のランダム パスワードとは、本当にランダムなパスワードです。つまり、すぐに忘れてしまうような奇妙なスペルではなく、「4&bqJv8dZrXgp」のように、絶対に覚えられないような文字、数字、記号の組み合わせです。

しかし、ここで重要なのは、この特定のパスワードの方が優れている主な理由は、そのようなパスワードを使用および生成するために、パスワードマネージャーを使用する可能性が高いためです。パスワードマネージャーは素晴らしいツールですが、これについては後ほど詳しく説明します。

しかし、ここで問題なのは、誰かがランダムにパスワードを解読しようとしている場合、正しいパスワードが見つかるまで何千ものパスワードの候補をシステムに発射するだけの自動ソフトウェアを使用している可能性が高いということです。

このシナリオでは、意味不明な文字列ではなく、パスワードの長さが重要になります。コンピューターは、パスワードが英語の単語で構成されているか、あるいは他の言語の単語で構成されているかを気にしません。しかし、パスワードが長ければ長いほど、正しいパスワードを推測するために必要な回数が増えます。

私たちの親愛なる真実の語り手 XKCD は次のように指摘しています。「20 年間の努力を通じて、人間には覚えにくいが、コンピューターには推測しやすいパスワードを使用するように、すべての人を訓練することに成功しました。」

もちろん、この想定の大きな部分は、多くの人がパスワードに数字や記号、大文字を取り入れるだろうというものです。もしそれらがなければ、パスワードクラッキングソフトウェアは小文字のみに限定し、正しいログイン情報をより早く見つけることができるでしょう。

長さは重要な要素となる可能性があり、またランダムな文字や数字を入力するのは人間にとって非常に負担が大きいため、実際に覚えられるランダムな単語をいくつか組み合わせたパスワードを作るべきだと主張する個人や組織は数多く存在します。XKCDは「correct horse battery staple」を例に挙げました。

この議論には確かに利点があり、Googleは長年このアプローチを推進してきました。では、どちらが優れているのでしょうか？

答えは「両方であり、どちらでもない」です。パスワードを覚えて入力したい場合は、発音可能な単語を使うアプローチの方が適しています。しかし、多くの人がパスワードに数字や記号を使っていなければ、このアプローチは効果を発揮しません。

さらに、多くの組織では、登録時に厳格なパスワードポリシーを設けており、大文字、数字、記号のいずれかの使用が求められるケースが多いという現実もあります。このような場合、発音可能な単語を使ったパスワードは実際には機能しません。

ランダムパスワードは、一般的にユーザーにパスワードへのアプローチ方法の違いを強制するため、全体的に非常に効果的です。多くの場合、ユーザーごとに異なるパスワードを使用することになります。これは、同じパスワードを使用している他のアカウントへの不正アクセスを防ぐため、セキュリティが向上します。また、もし既に覚えられないようなランダムなパスワードを使用している場合は、より長いパスワードを使用してみてはいかがでしょうか？ 気にする必要はないでしょう。

結論：パスワードを覚えておきたい場合は発音可能なパスワードを、そうでない場合はランダムなパスワードを使用してください。ただし、パスワードが短すぎないように注意してください（例えば10桁未満）。

それは次のことにつながります:

パスワード マネージャーか脳か?

パスワードマネージャーを使うには、本当にたくさんの理由があります。まず、すべてのログイン情報にパスワードマネージャーを使う習慣を身につければ、ログイン情報が異なるため、全体的なセキュリティがすぐに向上します。

さらに、パスワードを保存して貼り付けるソフトウェアを使っているなら、パスワードの長さを長くしてみてはいかがでしょうか？この組み合わせはオンラインでのセキュリティ確保に非常に効果的で、単一のユーザー名とパスワードで機密情報にアクセスしてしまうという、本質的に安全性の低いシステムにおいて、最も効果的なセキュリティ対策と言えるでしょう。

しかし、欠点もあり、昔ながらの脳を使うことには明確な利点があります。

もちろん、最大のメリットは、パスワードがあなたの脳内に保存されており、ハッキング可能なデータベースに保存されていないことです。パスワードマネージャーは優れたツールですが、ソフトウェアであるため、セキュリティホールの影響を受けやすいという欠点があります。

もちろん、これらの企業はセキュリティ保護のためにあらゆる努力を払っています。しかし、商業上の必然性により、安全性の低いソリューションが採用されるケースも少なくありません。例えば、最高のパスワード管理ツールの一つである1Passwordは、アカウントを「オンラインボルト」に移行し、すべてのパスワードをデバイス自体に保存するのではなく、スマートフォンやパソコンなどからアクセスできるようにしました。

これには十分な理由があります。例えば、デバイス間で同期して最新の状態に保つ必要がなくなります。また、企業側から見れば、単発の購入ではなく月額料金を請求するのがはるかに容易になります。これは収益にとって良いニュースです。

残念ながら、このアプローチは世界中のハッカーの標的にもなります。システムをクラックできれば、あらゆる情報にアクセスできてしまうのです。さらに、世界中の政府が企業に機密情報へのアクセスを強制する手段を持っており、時には情報公開命令まで発令されるという、不快な事実もあります。

また、使いやすさの問題もあります。Web サイトにアクセスするたびにアプリやソフトウェアを開くのは面倒です。

逆に言えば、脳は常に持ち歩いていて、大部分はオープンでロックされていない状態です。しかも、脳には毎年更新料もかかりません。ロックされていない、ハッキング不可能なデータベース？素晴らしい。まさにあなたの頭の中にあるのです。

結論：パスワードマネージャーを使いこなしましょう。極秘事項を扱う場合は別ですが。もし極秘事項を扱う場合は、ユーザー名とパスワードのみでアクセスするのは避けるべきです。

パスワードを頻繁に変更しますか?

上で説明したように、そうする理由とそうしない理由にはそれぞれ正当な理由があります。

頻繁に変更するということは、古いパスワードが役に立たなくなることを意味します。少なくとも理論上は。しかし、複数の研究者が発見したように、現実には私たちは人間でありコンピューターではないため、このアプローチは様々な問題を引き起こします。

まず、パスワードを頻繁に変更しなければならない場合、人々はより短く、より安全性の低いパスワードを使う傾向があります。パスワードはすぐに変更される可能性があるため、パスワード本来の安全性を軽視する傾向があります。これは明らかに全く理不尽ですが、正直に言って、ほとんどの人がハッキングされるなどとは思っていないため、理にかなっているとも言えます。

頻繁な変更は膨大なリソースを消費します。システムを常に更新する必要があり、ユーザーには変更を促すよう常に促さなければなりません。そして当然のことながら、ユーザーは「新しい」パスワードを忘れ続け、さらなる変更とテクニカルサポートへの対応時間の増加につながります。

それはバランスの問題です。パスワードを定期的に変更することのメリットはデメリットを上回るでしょうか？そしてほとんどの場合、そうではありません。

ハッカーの積極的な標的となると疑う十分な理由があるシナリオであれば、それは理にかなっているかもしれません。しかし、そのような立場にある人々は、長くて複雑なパスワードを使い、定期的に変更するなど、運用上のセキュリティの必要性を既に十分に認識しているはずです。数ヶ月ごとにIT担当者が来て、既に行っていることを指示するのは、全く不必要で迷惑です。

つまり、私たちが本当に話しているのは、セキュリティ対策に全く無能なのに重要な地位にいる人たち、つまり経営幹部や政治家のことです。彼らへの解決策は、部下にセキュリティ対策を任せることです。

パスワード変更を強制する最も一般的な事例は、おそらくTwitterのような企業でしょう（冗談ではありません。この記事を書いた後、Twitterはまさにこれを実行しました）。ハッキングされた後、全ユーザーにパスワード変更を強制するのです。しかし、企業レベルでは、ポリシーとしてそのままにしておくべきです。

結論: 魅力的ではありますが、定期的なパスワード変更を強制しないでください。