「良いパスワード」の条件とは？

　一般に「良いパスワード」とは、英数記号が混在し、推測されにくい文字列で8文字以上のものとされている。4～5文字程度のアルファベット文字列や辞書に載っているような単語、または生年月日や1111のような数字は、攻撃者に簡単に推測されてしまう、あるいは単語リスト（辞書）を使って簡単にパスワードが破られてしまうからだ。

　また、古くから同じパスワードを使い続けることもよいこととはされていない。長期間同じパスワードでいると、推測や総当たり攻撃（ブルートフォース攻撃）の時間を与えることになるため、企業によってはパスワードの定期的な変更を運用基準に組み入れているところもある。

　これに加え、現在は複数のサービスで同じパスワードを使いまわす行為もセキュリティ上の問題があるとされ、パスワードはサービスごと、アカウントごとに違うものを使うことが推奨されている。当然、前記の強度の高いパスワードを定期的に変更するという条件も生きている上での推奨条件だ。

　Webサービスが広がり、クラウド利用が広がると、平均的なユーザーでも、プライべ―トや仕事も含めて10や20のアカウントを持つことは珍しいことではなくなってきている。もちろん、業務システムではシングルサインオンを導入しているところもある。メジャーなサービスやサイトのアカウントと相互認証することでログインを簡略化するしくみもある（「Facebookでログイン」などというログイン画面だ）。あるいはパスワード管理ソフトやサービスをもあり、多数のパスワードを持つわずらわしさを緩和する方法は存在する。

パスワード管理ソフトも万全ではない

　しかし、これらのしくみを使ってもパスワード管理の問題を根本的に解決することは難しい。業務関係のシステムはシングルサインオンで管理されていても、そうでないクラウドサービスを仕事に使うことは珍しいことではない。もし、このような外部サービスに業務システムのIDと同じパスワードや類似のパスワードを使っていたら？　オープンなサービスのID情報をハッキングすることで、特定企業のシステムに容易に侵入できてしまうかもしれない。

　個人利用となるとさらに管理は困難かもしれない。プライベートで利用するサービスやサイトにログインが必要なものは意外と多い。サービス提供者としては、利用者の属性情報やアカウント登録は囲い込み戦略の重要な要であり、ログイン画面はなかなか外せない。結果としてユーザーは、頻繁に利用するつもりがなくてもID登録をしなければならない。その都度ID登録を行うが、それらをすべて管理できるだろうか。

　パスワード管理ソフト、パスワードマネージャーはそのような目的でかなり有効に機能するが、多くの人が使っているわけではない。使い方がよくわからない、マルチデバイスに対応していない（最近は少ないが）、サービスがなくなったりトラブルで使えなくなるリスクがある、といった理由で使用しない層も存在する。

　サイトやアプリのID相互認証の場合でも、サイト（FacebookやTwitterなど）のセキュリティ設定で、そのアプリとの連携を許可しなければならない。ソーシャルサービスのアカウントで、むやみにアプリ連携を許可するのは問題といえば問題である。さらにいえば、そのアプリがそもそも信用できるものかという問題もある（相互認証が正規のものであれば危険は低いが）。

【次ページ】パスワードのメモ、作っていいの？