パスワードは人が管理すべきものではなさそう

この記事は2017年08月13日に公開されました。 情報が古い可能性があります。

こんにちは、殿内(@tonoccho)です

パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認めるこちらを見たときに、自分としてはだいぶ前からパスワード管理ツールを使用して、各サービスの上限ギリギリとか、50文字とかのランダムなものを生成して利用しており、たまに、このパソコンでログインして欲しいとか言われて泣きそうになっています(それも危険なんですけどね)。
大文字、小文字、数字、記号を利用した時の文字の数は、26+26+10+38とか?大体100位?これで8文字にした時の組み合わせは10の16乗、確かに多そうです。仮に、大文字と小文字だけで、DogCatElephantの14文字だとすると、52の14乗は、1.0569314e+24なので、こっちの方が組み合わせは多いですね、なるほど。
本文で言ってるのは、こういう風に文字種を増やして頻繁に変えましょう、というような運用にすると、バッドノウハウ、パスワードポリシーのツールを以下に回避するか、とか、例えばaは@とかにすると良いよ!みたいなアイデアとかそう言ったものができあがっていき、結局大して複雑ではないパスワードが量産される、例えるなら、P@ssw0rdみたいなのが作られていき、むしろハッカーはハッピーみたいな?
パスワードは、ランダムだから意味がある、という時点で本来人が決めちゃいけないもののような気がします。なので、セキュリティに気を使うなら、二要素認証とか、管理ツールを使うとか、そっちの方に労力を割いた方が良いと思いました。
ところで。MSは、パスワードとかもう古い、PINでいい、と言うような事を言っていましたが、コレはよく読むと、なんらかのハードウェアサポートがあるからPINでも十分にセキュア、と言う感じでしたので、何かしらの仕組みによってセキュリティが担保されてるのかもしれませんから、PIN自体を安全と勘違いしないようにしたいところです。

ニュージーランドの最新記事

生活の最新記事