Impervaは2月15日(米国時間)、「Why Insisting on Complicated Passwords can be a Dangerous Security Practice|Imperva」において、複雑なパスワードにこだわることはセキュリティ上のリスクにつながる危険性があると指摘した。強いパスワードがサイバーセキュリティにおいて重要であることは間違いないが、ユーザーがそのパスワードを覚えていられるかどうかは別問題であり、この点がインサイダー事件の原因の一つになっているという。
-
Why Insisting on Complicated Passwords can be a Dangerous Security Practice | Imperva
現在、企業では複雑なパスワードを使うことが慣習化しており、大文字、小文字、数字、特殊文字をそれぞれ最低1文字含み合計8文字以上のパスワードが使われることが多い。さらに、ログインパスワードに関しては有効期間を90日間とすることもある。ログインパスワードの有効期限を90日間にすることはデータ上も理にかなったものだとImpervaは説明している。
しかし問題は、ユーザーが複雑なパスワードを覚えておくことができない点にあるという。覚えるのが困難なパスワードの使用を求められた場合、ユーザーは付箋紙やノートまたは適当な紙切れにパスワードを書き出したり、スマートフォンにメモしたりする。こうした行動がインサイダー事件へつながっていくとImpervaは指摘している。
Impervaはユーザーに覚えやすい、かつ、強いパスワードを使わせる方法として、印象的なフレーズを作ってもらい、そこからパスワードを作り出す方法を紹介している。想起したフレーズの文字を数字へ置き換え、文字を特殊文字へ置き換え、特定の文字を削除、単語のスペルをわざと間違える、頭文字や略語への置き換えを行い、自分だけのユニークなパスワードを作るというものだ。
パスワードの作成例として、次のようなサンプルが掲載されている。
| フレーズ | パスワード |
|---|---|
| open sesame | opN-55aM |
| My dog Maggie | mydO6ma66ie |
| I love a cheese sandwich | IehC5991 |
| +1 866 926 4678 | Tel+!8^6(2$4∗8 |
| Shall I compare thee to a summer’s day? Thou art more lovely and more temperate | siCT2ASD?tAML&MT |
覚えやすいフレーズから自分だけのパスワードを作る方法は以前から強いパスワードを生成し覚えておくテクニックとして知られており、多くのベンダーやサイバーセキュリティ当局が取り上げている。Impervaの今回の発表はこうした以前から言われている手法を再認識させるものとなっている。
複雑なパスワード、さらに多くのパスワードを管理する方法としてはパスワード管理アプリが挙げられることが多く、Impervaもパスワード管理アプリの使用を取り上げている。しかし、その場合でもパスワード管理アプリのマスターパスワードを覚えておかなければいけないため、少なくとも1つは強力なパスワードを記憶しておく必要がある。
