パスワードは用途と重要度に応じて使いやすく運用

理想と現実の狭間で

どんなパスワードでも厳重に管理しなければならないという風潮が気になって仕方がない今日この頃だ。ITでシステムを利用する際にはアカウントとパスワードが要求されることが多い。サービスを提供している企業はパスワードを強固にすべきだと主張している。そして、それぞれ同じパスワードではなく、システムごとに異なるパスワードを使うべきだとも言っている。そして、それを漏れないようにメモせずに覚えておくべきだとも。

確かにそうなのかもしれない。それが理想なのかもしれない。だが、現実は違う。ITで世の中が動いている現在にあって、利用するシステムの数は増える一方である。そして、それぞれに異なるパスワードを設定して、それぞれを覚えておくのは不可能なことだ。企業は免責が欲しいので理想を主張しているが、実現性は一切考慮されていない。

例えば、次のような記事がある。

[CNET Japan] 「パスワードはメモしておけ」–MSのセキュリティ担当幹部、自説を披露

このことは、パスワードをそれぞれ設定してすべてを記憶することが現実的ではないとセキュリティの専門家が認めていることを意味している。

ではパスワードは使い回すことなく、システムごとに異なるパスワードを設定したほうがいいのかというと、これもどうかと思う。管理する項目が増えれば煩雑になるため、利便性が劣ることは避けられない。

臨機応変に対応しよう

私は利用するシステムの重要度に応じてパスワードを使い分ければいいと考えている。例えば、次のような感じだ。

  1. 銀行、証券会社などお金が関わるシステム
    システムごとに難解で異なるパスワードを設定する。
  2. メールやSNSなどの個人が利用するシステム
    システムごとに異なるパスワードを設定するが覚えやすいものを利用する。
  3. 社内イントラネットなど閉じたネットワーク内のシステム
    覚えやすい同じパスワードを使い回し、ブラウザに記憶させておく。

さまざまな主張があるかもしれないが、これらは一例である。

銀行などのお金が絡むシステムである場合は、重要度は高く、アカウントはなんとしても守らなければならない。したがって、覚えにくく難解なパスワードを設定する必要があるし、パスワードがひとつ漏れても別のシステムに影響しないように、システムごとに異なるパスワードを設定する必要がある。

メールのアカウントなどは他人に利用されては困るので漏れないに越したことはないし、ひとつ漏れても別のシステムに影響しないように異なるパスワードのほうがいい。だが、企業や国家の重要人物が仕事で利用するアカウントならまだしも、個人のアカウントをコストをかけてクラックする人がどれほどいるだろうか。そういう意味では、銀行などのパスワードよりも利便性を少し高めても問題はないと思う。

そして、イントラネット内の閉じた空間での利用であればそれほど重要ではない。ブラウザに記憶させておけばいいし、単純なものでも問題はない。むろん閉じた空間でも財務系のシステムであればお金が絡むシステムであるので、最初の場合と同様の厳重なパスワード管理が望ましい。

このようにシステムに応じてパスワードの運用を工夫すると、利用する際の負荷が軽減されるし、そのことによって重要なアカウントがきちんと守られることにもつながる。

何でも画一的になるのではなく、要は臨機応変である。