むしろ覚えないほうがいいんじゃない?
前回
覚えやすさは必要か?
忘れたらログインできずに困る。確かにそうだが、何も自分が覚えている必要があるとは限らない。
パスワードは覚えにくくなる運命
- サービス
- ユーザ
- パスワード
この3つが一致したとき、アカウントハックされる。
サービスは無数に増え続け、いつの間にかアカウントも増える。パスワードは使い回してはならないし、類推しづらいものであるべき。
そんな条件下でこれら3つ紐付けて覚えていられるか? いくつ、いつまで覚えていられる?
それでも覚えたい?
自分が覚えてもいられないパスワードを使うなんて不安だもの。
覚えやすいパスワードを作る方法
覚えやすいパスワードを作成する方法はいくつかあるようだ。が、類推されにくさとトレードオフの関係になるものばかり。
- 文章を作成してそれを元に暗号化する
- 日本語(ローマ字): 母音多数
- 暗号化パスワードから文章であると悟られやすい
- 母音が多いという特徴から暗号ルールを見抜かれやすい
- 英語: 英語わからない
- 文章を英文に翻訳できない
- 暗号化したパスワードをみても思い出せない
- 日本語(ローマ字): 母音多数
- サービス名+自分の名前
- 個人情報は類推攻撃の対象(個人情報は秘密情報たりえない)
覚えること自体のリスク
語呂合わせなど単純な暗号化は辞書化されて類推の対象になりうる。さりとて複雑な暗号手順が必要だと覚えにくいため本末転倒。手順を紙に書いたらパスワードを紙に書くのと同じリスクがあるし。
結局、「覚えられない」問題にぶち当たる。自分の脳(記憶力)は衰退していくことが約束されているため、将来の劣化に備えておく必要もある。
覚えることが増えていく
- 複数サービス、アカウントが必要
- なのに重複ダメ
- しかも1つのパスワードは複雑でないとダメ
- そしてサイトごとに使える桁数や字種が違う
Webサービスでしか受け付けないことが増えてきている。利益追求(人件費削減)のためだろうか。もはやアカウントを多数保持することは避けられない。
だが、それらを、いつまで覚えていられる?
リスクが増えていく
アカウント・ハックの被害は日々増大する。
- サービスの利便性向上とともにリスク増大(できることが増える→勝手に操作されることが増える)
- コンピュータ性能向上とともにリスク増大
「覚えやすい」パスワードにすることは類推される危険に繋がるのでは?
また、自分が覚えているとソーシャルエンジニアリングにより漏洩する恐れがある。書いた紙を見られるとか、酒を飲まされて自白させられるとか。
自分が覚えていなければ自分から漏洩することはない。
- http://www.hack-cafe.net/safe-password/
- https://www.amamoba.com/pc/pass-rule.html
- https://sorayori.com/password/
パスワードでは対処できない事態
頑張って覚えても、通信を傍受されたり、記録したデバイスを盗まれたりしたらアカウント・ハックされる。
広域無線
通信傍受されたらどうにもならない。
たとえば無線W-Fi接続している場合、その電波を傍受されうる。まっとうなサイトならHTTPS(SSL(TSL))で暗号化通信しているので問題ないだろうが、暗号化を解析されたらパスワードも漏洩する。
上記の対策は、広域無線Wi-Fiに接続しないことである。無線で電波を飛ばした時点で、誰に傍受されるかわからない。
VPN
VPNで対策できるようだが通信料金がかさむし、通信速度も落ちる。
垢ハックのリスクを下げる
たとえ傍受されるとしても無線Wi-Fiを使いたい。でもアカウント・ハックのリスクは下げたい
二要素認証(二段階認証)が使える。
パスワードのログインに加え、ワンタイムパスワード(OTP)も必要とする。このとき30秒だけ有効なOTPを生成して渡す。
広域無線で傍受されたら、サービス、ユーザ名、パスワード、OTPはすべて傍受される。だがOTPが傍受されてバレてしまっても30秒間のみ有効なので被害を受ける確率を下げられる。もっとも、認証完了後の通信を乗っ取られ、その時に好き勝手されるとアウトだが。
どうすればいいの?
リスクの根源は無線Wi-Fi、特に広域無線Wi-Fiである。各事業者が展開する公衆無線Wi-Fiは何をされるかわからない。最低でもファイアウォールなどセキュリティ構築してから接続すべき。
せいぜい自宅の無線Wi-Fiにしておく。最善は自宅ルータに有線接続すること。
最強のセキュリティは、Webサービスの利用を停止し、ネットワークから切断すること。もっとも、Webサービスを利用するのが目的なので、これは対策になりえない。
覚えない
自分でも覚えられないパスワードにしたほうが良くないか?
- 覚えるのが難しい(アカウント増加、脳の老化、コンピュータ性能向上による類推攻撃)
- 覚えること事態がリスク(忘却、類推、自白)
覚えることに力を注ぐより、紙やPCに覚えさせておき、それら媒体の管理を徹底するのが現実的。PCなら通信やデバイス盗難への対策をするなど。
パスワードに覚えやすさは不要。むしろ覚えないほうがいい。という考え方もできる。たとえば1000桁のパスワードとか。SHAの鍵みたいなやつにするとか。
現実
でも、現実はそうはいかない。
短いパスワードしか作れない社会
たとえばサイトによって使える桁数や字種が違う。8〜16桁までしか作れないとかある。銀行の暗証番号でさえ4桁という現実。
こういう背景があるから「覚えやすさ」が求められるのだと思う。でも他に覚えることが増えると、単純なことでも忘れうる。なら、いっそ覚えずに推測されにくいパスワードにしたほうがセキュリティ上がっていいと思うのだが。完璧な生体認証で統一されたら楽なのに。ああ、正確性やコストの問題か。しょうがないね。
やれやれ、こまったシステムだぜ。そう思っていた時期が僕にもありました。
短いパスワードすら忘れる私
世の中が情報化社会でも、私は痴呆化魔界。なにをやっても「アレ、なんだっけ」。言葉も出なくなることが増えてきた。覚えやすさより記憶力を、いや若さをください。
道具が悪いんじゃない。それを使う人間が悪いんだ。道具のせいだとごまかしてきたが、現実を見よう。私はもう時代についていけない。そして誰にも覚えられず消える。覚えやすさは不要だが、覚えることは必要。よって覚えられない私は不要。
覚えやすさ不要論は自分不要論へ。最強のパスワードを作る前に、最強の自分を作るべきだった。気づいたときには手遅れ。悲しみと絶望だけが残った。
覚える < 忘れる
大丈夫、どうせこの思考も忘れるのだから。この記事を書いたことさえ忘れるのだから。そう、忘却は救いだ。忘れやすさこそが必要なんだ。人は悲しみを乗り越えるのではなく、耐えるでもなく、飲み込むでもなく、忘れることで生きていけるんだ。
忘れてもいいんだ。さらばパスワード。さらばネット。さらば記憶。さらば自分。さらば社会。生への執着を捨て、忘却の彼方へ帰すことこそ命の極地なり。
忘れることでログインできる認証こそ最強だと思う。そんなログアウトできない天国へ、私は行きたい。