人間は、そんなにたくさんのパスワードを覚えられない

パスワードマネージャーを自作しているのですが、色々と調べて感じた(誤解していた)ことがありましたのでポストします。
読み物っぽくまとめつつ、最後の方でちょっと自分の作ったアプリの宣伝も入ってますが、だらだらと流し読んでもらえると嬉しいです。

人間は、そんなにたくさんのパスワードを覚えられない

安全性の高いパスワードって、たとえばこんなやつ。

kM*fw6Wwj@qck1

これ、覚えられます? わたしは無理です。

8qhqmn1fxe

このレベルならなんとか…10回くらい使ってればそのうちなんとなく覚えられるかも…そんな感じです。
(もちろん、覚える気がなければ無理)
覚えられないので、どこか紙にでもパスワード書いておこう。そう思う人も多いかもしれません。

私はそれで、会社の PC に付箋(もしくは、デスクトップに付箋ツールを)パスワード大量に貼り付けてる職場を(2022 年現在)見たことあります。

そんなパスワードを数か月で変えるとか

そうやって必死に記憶したパスワードを数か月ごとに変える…苦痛でしかありません。
「賢い人間」はこの不条理をしのぐため、最善の手を考え出しました。

Yoshinori@01
Yoshinori@02
Yoshinori@03 ← Now!!

@ の後の数字すら忘れそうな人は、こんなパスワードにしてるかもしれません。

Hideki@2010_3
Hideki@2010_6
Hideki@2010_9
Hideki@2010_12 ← Now!!

定期的にパスワード変えろと要求してくるコンピューターに、人類が勝った瞬間です。
これならもう、パスワード忘れない!

このパスワードの問題

確かに忘れはしないでしょうが、これ、パスワードを変える意味はあったでしょうか?
「そもそもパスワードを変えた」理由は、たとえ過去のパスワードを知られたとしても、新しいパスワードによりアクセス遮断する事だったはずです。
この「人類の英知」パスワード、過去のパスワードさえ入手すれば容易に推論可能です。
ランダム文字列でもないので、一般的な解析もしやすくなってしまいます。

うるさく「違うパスワードを要求してくるシステム」には勝ちましたが、セキュリティリスクはかえって上がったと言えるでしょう。

NIST は 180 度方針を変えた

元々これ(パスワードを数か月で変える)を推奨したのは NIST(National Institute of Standards and Technology)と呼ばれるアメリカの公的機関でしたが、彼らは 2017 年に方針を 180 度変更しました。
彼らも気づいたのでしょう、この方針に対抗したパスワード「Yoshinori@03」に。

人が求めた効率的な最適解が、セキュリティレベルを高くするわけではありません。

とはいえ、全く意味がないわけではない

ただし、社で使う共有パスワードであれば、数か月ごと(あるいは課の人員に変化があれば)にパスワードを変える意味はあります(むしろ必須でしょう)。

今時共有パスワードなんて考え方がオワコンと言えなくもないですが、その論理が通用しない旧世代システムに触れる必要はゼロではありません。
どんなルールも「意味があるなら使う」TPO に適した運用を心がけましょう。

個人で使うサイトやシステムであれば、「数か月ごとにパスワードを変えろ」と言う要求は苦労しつつセキュリティレベルを下げている、誰も幸せにならない仕様です。
たとえパスワードを変えさせなくとも、手打ちもためらうような複雑なパスワードの方がセキュリティレベルは高まります。

パスワードがコピペできない

パスワードがコピペされるんじゃ、複雑にした意味がないだろ?

こう考えてか、パスワードをコピペできなくしているサイトがあります。
これもまた、セキュリティリスクを上げてしまいます。

「コピペできないんじゃ、パスワード簡単にするしかないだろ?」と人間は考えます。
それが効率的な最適解と言うものです。私は毎回「kM*fw6Wwj@qck1」なんて打ってられないから「Yossy@202211」とか簡単なパスワードにしてしまいます。

なお、コピペだけが第3者にバレやすいと思っている人がいますが、手打ちだろうがキーロガーで普通にバレます。
「PCを他人に乗っ取られる」ことが問題で、乗っ取られた場合にコピペだけ対処しても、あまり意味はありません。

ソフトウェアキーボードは確かにバレにくいですが…毎回それで入力はしんどいですよね。
運用する人間の手間を考えていないので、UX の問題を囁かれてしまうでしょう。

NIST はなんて言ってるのか

NIST のデジタルガイドライン(2022.03)では「貼り付け機能の使用許可を推奨しています」との事です。
私が日常に使っているサイト(数十か所)では、コピペ禁止のサイトは見当たりませんでしたし、「数か月ごとにパスワード変えろ」サイトよりは、数が少ないのかもしれません。

パスワードマネージャーの利点

現時点でパスワードマネージャーを使っている人は少数だと思います。ほとんどは、

  • 手帳など紙に残しているパスワードが十~数十個ある
  • 手打ちできない程の複雑なパスワードは抵抗があり、英数字10文字程度にしてしまう

こんな感じじゃないでしょうか。

パスワードマネージャーを知らない人もいるかもしれませんね。

でも結局「効率的な最適解を」求めていった場合、パスワードマネージャーはその回答の一つです。

今はブラウザがパスワードマネージャーっぽい動きをしていますが、ブラウザオンリー。
iCloud が Web で使えるようになってきたのはちょっと面白いですが、キーチェーンはなさそう。
Android, Windows, iOS... それぞれでけん制しあうし、大手だからといって十分なセキュリティかどうかは…信じるしかありません。

カードキーでしか入れない家はいかにもセキュリティ意識高そうですが、カードキーの複製が簡単だったり。
カードキー紛失を考え、スマフォアプリでも対応できるようにすれば、それがセキュリティリスクになる事もあるし。
一般人がこれらを理解し、見破るのは不可能です。

セキュリティリスクは自分で管理したい、いろんな端末でも使えるようにしたい。
そう思ったとき、とりあえずアプリを自分で作れるのは技術者冥利に尽きました。
大企業に匹敵する程多機能ではありませんが、その分シンプルで、個人が「安全かどうか」理解した上で使うことができます。

日本の場合最終的にはマイナンバーカードかもしれないし、国民が1人1台の携帯端末を義務化され、それで認証を行うのかもしれません。私がこの世から消える頃にはそうなっているんでしょう。

セキュリティは他人事ではなく、自分事です。どう守るか、守れるか、自分で知識を得て、自分の身は自分で守るしかありません。
紙だからセキュリティリスクが低い…本当にそうでしょうか? クラウド上の知らないデータベースに登録された自分の情報(どう保存されているか見ることができない)の方がセキュリティリスクは高いかもしれません。
ただし、紙の場合いざ漏れたり、失くしてしまった時致命的なのは確かです。

こんな風にリスクを自分で理解した上で、自分に最適な方法を選びましょう。
PC のモニタにパスワード書いた付箋貼っておくような管理は、さすがに止めましょう!

返信を残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA