The Hacker Newsは10月22日(現地時間)、「Why You Should Swap Passwords for Passphrases」において、パスフレーズの重要性を解説した。推測困難な強力なパスワードも重要な考え方だが、長さに重点を置いたパスフレーズはより優れたセキュリティ対策になるとして主張している。

複雑さよりも長さが重要

パスワードは長年利用されてきたが、覚えにくさや使い回しによって攻撃者に突破されやすい弱点を抱えている。漏洩した認証情報を悪用した不正アクセスは深刻であり、利用者の資産や企業の信用を損なう要因となっている。

対して単語をつなげて構成されるパスフレーズは覚えやすい特徴を持ち、簡単な単語を利用していながら強度のある認証を実現する。The Hacker Newsは実例を挙げながらパスワードとパスフレーズの数学的な解読難易度の評価を行っている。要約すると「複雑さよりも長さが解読困難さにつながる」ことを説明しており、「強力なパスワード」は「簡単で長いパスフレーズ」に劣ることを証明している。

このメリットは現実的なリスクの軽減にもつながる。強力なパスワードは覚えることが困難かつ忘れる危険があり、紙や電子データに保存せざるを得ない。これら保存されたパスワードはショルダーハッキング(肩越しに盗み見る)などの可能性があり、安全とは言えない。一方で記憶可能なパスフレーズは保存する必要がなくショルダーハッキングのリスクがない。

パスフレーズの作り方は簡単。確実に思い出せる単語(歌詞、固有名詞、有名なフレーズは避ける)を3~4個選び、それら単語をローマ字小文字で表現し、任意の1文字の記号で連結して12文字以上(16文字以上が理想)の文字列とするだけ。簡単な単語で構成されたとしても十分な安全性が期待できる。

利便性と安全性の両立

この考え方は先日発表された新しいパスワードガイドラインにも合致する(参考:「NIST、新しいパスワードガイドライン公開 - これまでの常識を覆す新ルール | TECH+(テックプラス)」)。ただし油断は禁物。パスフレーズもどこから漏れるかわからず、絶対の防御とは言えない。そこで多要素認証(MFA: Multi-Factor Authentication)の併用が重要なセキュリティ対策となる。

多要素認証を併用した場合はパスフレーズの使い回しもある程度許容可能と考えられるが避けたほうがよいだろう。とは言え数十ものアカウントに異なるパスフレーズを設定するのは、パスワードと同様に保存する結果につながりかねない。

そこで、パスワードマネージャーの利用が推奨される。パスワードマネージャーのマスターキーにパスフレーズを利用し、各アカウントにはパスワードマネージャーで生成したランダムかつ長いパスワードを使用する。さらに多要素認証を併用すれば高いセキュリティを確保できる。

実効性のあるオンラインセキュリティの確保は喫緊の課題だ。安全性をいくら説明しても複雑な対策は普及することはなく、ユーザーは抜け道を探す傾向にある。パスワードレス認証のパスキーがその答えとして推進されているがまだ道半ばの状況だ。パスワードレス認証が当たり前となるまではパスフレーズと多要素認証の併用が現実的な解決策と言える。