パスワードについて
パスワードとは
あなたの Microsoft アカウントにパスワードレスの未来を - News Center Japan
こんなニュースが飛び込んできたので、今日はパスワードについて書いてみたいと思います。みなさんは、パスワードをいくつ持っていますか?昨今は非常に様々なサービスがありますので、人によっては把握できないほどのパスワードを持っていると思います。パスワードって何に使うものですか?何のためにあるものですか?大事なものだという認識はあると思うのですが、パスワードってどれぐらい大事ですか?なんてことについて、自分なりの考えを書いてみます。そして、パスワードとの付き合い方について、子どもたちにもどっかで教えられるようにしてほしいなあと思います。
例えば皆さんが出勤したとき、まずPCを立ち上げて、パスワードを入力するという方がほとんどだと思います。この時のサインインは何のためにしているのでしょうか。PCを立ち上げるためというのは、半分正解です。職場のPCにサインインするというのは、自宅でPCにサインインするのと、少し話が変わってきます。職場PCのサインインは、”ドメイン”に対して行われています。難しい言葉で”認証”と言います。ドメインというのは、簡単に言えば組織のネットワークです。ドメインに対してサインインすることによって、校務サーバーなどにアクセスできるようになります。このサインインに使っているユーザーも、ドメインに属しています。ちなみにドメインではなく、PC本体に属しているユーザーもあります。ローカルユーザーといいますが、このユーザーでサインインすると、校務サーバーにはアクセスできません。ドメインに対してサインインしていないためです。
長々と小難しいことを書きましたが、つまり何が言いたいかというと、職場で使っているユーザー名とパスワードは、PCの鍵ではなく会社の鍵だということです。それが誰かに知られてしまうと、あなたのPCを開けられてしまうだけでなく、職場の財産にアクセスできるということになってしまいます。たまーにPC本体にパスワードを付箋で貼っている人を見ますが、言語道断ですね。もしやっている人がいたら、すぐにやめましょう。ここまでの話をまとめると、
- パスワードは認証に用いるもの。
- 職場のPCで使うパスワードは、会社の鍵であるということ。
- このパスワードがばれると、会社の財産にアクセスされてしまうということ。
ということになります。
パスワードはできるだけ複雑なものに
そんなパスワードはどのように設定すればよいのでしょうか。結論から言えば”できるだけ複雑にする”ということなのですが、複雑とはなんでしょうか。
上の記事は、2020年のパスワードランキングです。パスワードランキングとはなんぞ!?と思うかと思いますが、流出してしまったパスワードのランキングです。見るとどれも、数字のみだったり、アルファベットの小文字のみだったり、とても規則的だったりしていますね。とりあえず、こういうパスワードにするのはやめましょう。パスワードの強度ですが、下の要素を満たしていた方がいいと思います。
- 長けりゃ長いほどいい
- 大文字小文字数字記号のすべてが入っていた方がいい
- 規則的ではない方がいい
- 複数のユーザーやサービスで共通にしない方がいい
長けりゃ長い方が良いのは当たり前ですが、当然限界があります。覚えられないし、打つのが面倒だし、って考えると8文字から16文字といったところですかね。16文字は長いですね。
パスワードは、割と簡単に複雑にすることができます。例えば”password”というパスワードを複雑にすることを考えます。一番簡単なのは、一つを大文字にしてみること。”passWord”とかってします。これだけで暴くのが少し大変になります。次に数字を入れてみます。"o(オー)"を"0(ゼロ)"とかにしてみます。”passW0rd”になります。ここに記号を入れてみます。"p@ssW0rd"のように”a”の代わりに"@"を入れてみたりします。さらに強化するとすれば、細工していない"p,s,s,r,d"をアルファベット順でずらしてみます。例えば"p"を一つずらして"q"とかってします。すべて一つずらせば"q@ttW0se"となります。昔使われていた暗号化の一つです。簡単に破られるので今は使われていませんが。これでも、かなり複雑になったと思います。
パスワードは完全ではない
ここで一つ、頭においておいていただきたいのは、パスワードは頑張れば暴けるということです。まあ相当頑張らないといけませんが、頑張るのは自分ではなくパスワード解読ソフトなので、正確には”待っていれば”ですね。なので、パスワードを複雑にするということは、パスワードが暴かれるまでの時間をかなり長くするということになります。まあまあ複雑にすれば、一生かかっても暴けないぐらいには長くすることができます。とはいえ、パスワードが何らかの形でバレてしまえば(メモを落としてしまうなど)”誰でも”認証することができてしまいます。PCの前に座っている人が誰なのかまではわかりませんからね。
そこで、パスワード以外の認証方法が生まれてきました。例えば”指紋認証”。スマホでは当たり前になりつつあります。これは”生体認証”の一つです。生体認証は、その人にしかない身体的な特徴を使うので、かなり強いです。これとパスワードを組み合わせれば、破られる可能性をかなり下げることができます(二要素認証とかっていいますが詳しいことはまたの機会に)。
では、冒頭の記事のMicrosoftは、どうやってパスワードレスを実現しているのか。Microsoftは”Microsoft Authenticator”というアプリを用いています。サインインしようとユーザー名を入力すると、パスワードを求める代わりに数字が表示されます。それと同時にアプリに通知が来ます。そのアプリで、表示された数字を選択することで、サインイン完了といったものです。この仕組みで重要なのは、”パスワードを入力しなくてもよい”のではなく、”パスワードそのものがない”ということです。パスワード自体が無いので、パスワードを用いて誰かがサインインすることはできません。パスワードを捨てることで、セキュリティを高めています。その発想はなかった…。
教育現場に話を戻します。子どもたちもパスワードを扱う機会が必ず出てきます。そんなパスワード、面倒だから、こっちの管理が大変だからといって、みんな一緒にしていませんか?それを悪用して他人のアカウントを用いて悪さをする、といったことができる子どもだって必ず現れます。そんなことをしてはいけないという教育も必要ですが、そういった形で攻撃されることがあるということも、教える必要があると思います。今のうちに、自分の身を自分で守る術を身に着けておく必要があります。”そういった危険性があるから触らせない方がいい”というのは教育でありません。子どもたちは我々が経験したことのない未来を生きていきます。”触らせない”ではなく”適切に扱う”ことを学ばせていく必要があると思います。まあ、大変なことではありますが(情報担当の方はなおのこと)、臆せず、やっていきましょう。ではまた。
