パスワード以上に愚かなアイデアは想像しにくい。私たちの生活の最も重要な側面の多くを、ほんの短い文字列で守っているなんて、極めて不条理だ。
8文字からなるこの集合体は、銀行口座や医療記録、家族写真、そしてキーボードから漏らしてしまった最も繊細な思考に至るまで、あらゆるものへの入り口となっている。ただ単に「パスワードが大嫌いだ」と言うだけでは、この世に他にも忌み嫌うべき無数のものと同じにしてしまうことになる。ところが、パスワードはそれ自身の悪名高い王座に値するのだ。
そして、何よりも最悪なのは?実行可能な代替案が一つもないことです。
パスゴー
まだ気づいていないかもしれませんが、私はパスワードが大嫌いです。セキュリティ専門家としての私の視点から見ると、パスワードの唯一の救いは、子供たちにきちんとした大学教育を受けさせてくれることくらいです。
私が嫌悪しているのは、パスワードの存在や、その欠陥のある特性(これについてはこれから詳しく説明します)だけではありません。これほど重要な情報が、大文字の名前(おそらく猫、犬、あるいはトカゲの名前)、数字(おそらくあなたの生年月日の下2桁、あるいは好きな選手のジャージ)、そして末尾の感嘆符によって保護されているという事実自体が、本当に嫌悪感を抱くのです。私たちの個人アカウントはさておき、こうした小さな文字列は社会の重要なインフラ全体に埋め込まれています。核兵器の発射コードが大統領のコンピューターに保存され、誰かが「BoTheDog2008!」と入力するのを待っている、あるいは『博士の異常な愛情』が予想したように「PreserveOurEssences*1964」と入力するのを待っている、と知っても、私は全く驚きません。
ベストプラクティス
パスワードの何がそんなに悪いのでしょうか?まず、どんなに良いパスワードでも、覚えるのがほぼ不可能だったり、長すぎて扱いにくいものだったりするからです。
「業界標準」の推奨事項に従って、少なくとも 8 文字で、大文字、小文字、数字、記号をそれぞれ 1 つずつ含めてください。ただし、ありふれた名前 (絶対にダメです!) や、過去 50 年間に会ったことのある人、または関係のあった人の名前は使用しないでください。また、 E を 3 に、Oを0に置き換えるような愚かなこともしないでください。すべての攻撃ツールがそれを見破ることができると言われています。代わりに、あなたとは関係のないランダムな文字を選び、数字と記号を追加します。そして、そのパスワードを、そのシステムでこれまで使用された他のパスワードとはまったく関係のない別のパスワードに変更するよう強制されるまで、わずか 90 日間だけ覚えておいてください (そのようなことがチェックされます)。
代わりの方法がお望みですか? パスフレーズは 15 文字以上で、覚えられるもので、自動ツールで総当たり方式で解読できないほど長いものにしてください。映画の名言はどうでしょうか? ただし、人気映画のセリフは避けてください。『スター・ウォーズ』、『スタートレック』、『ダイ・ハード』、『ジェリー・マグワイア』はリストから外れています。『プリンセス・ブライド・ストーリー』や 1980 年代のTV 番組『G.I.ジョー』は絶対に避けてください。あまり知られていないものにこだわるのが一番です。たとえば、ウクライナのポスト表現主義のニューエイジ ストップモーション ノワールなどです。元のウクライナ語で、ロシア語に翻訳されたものは絶対にいけません。理由はお分かりでしょう。そして、アカウントからロックアウトされるか、最悪の場合、電話全体を消去される前に、3 回以内に間違いなく iPhone に入力してみてください。
また、2 つの異なるサイト、サービス、またはコンピューターに同じパスワードを使用するたびに、子猫が 1 匹死ぬことを決して忘れないでください。
すべてを管理する 1 つのパスワード?
もちろん、 Macworldで長年繰り返し推奨してきた推奨事項に従うこともできます。まずは1PasswordやLastPassのようなパスワードマネージャーを使って、長くてランダムなパスワードを生成し、それらを1つの強力なメインパスワードで保護しましょう。これらは非常に効果的です。私も1Passwordを購入してからは、Muppet83! を使っていたウェブサイトのことを心配する必要がなくなりました(あの犬が恋しいです)。
もちろん、iTunesは例外です。Appleは何かを購入するたびにパスワードの入力を求め、時にはユーザーが十分に注意を払っているかを確認するために、一見ランダムにパスワードの入力を求めます。また、iCloudもそうですが、iMessageの設定を少しでも変更するたびに、あらゆるデバイス、あらゆるサービスでパスワードの再入力を要求されるようです。iOSでは、システムレベルの項目のパスワード入力画面からすぐに離れることができないため、パスワード管理アプリから正しいパスワードを取得して貼り付けるのが難しくなっています。
技術にあまり詳しくない友人や家族に、パスワードマネージャーの使い方や複数のデバイス間で確実に同期する方法を教えるのは難しいでしょう。パスワードマネージャーがユーザー名としてフルネームを保存したり、HTMLのスライドダウンログインフィールドにパスワードを貼り付けられなかったり、生成されたパスワードを適切なログインページに関連付けることができなかったりした時のことを思い出してください。技術に精通したユーザーにとっては些細な煩わしさでも、ビーガンケーキのデコレーションフォーラムに安全にログインしたいだけの一般人にとっては、致命的な問題です。
この時点では、キーチェーン アクセス ユーティリティについては言及すらしないで下さい。
パスワードに特化した特集記事を多数公開しました。そこには、あなたの家族にいる無名のハイテク恐怖症やテクノロジー初心者が、決して理性的に従わないであろう膨大なアドバイスが詰まっています。なぜなら、そのアドバイス自体が全く理不尽だからです。私たちは、トランプのトランプを支えることさえできない土台を安定させるために、できる限りのハックを重ねています。
私たちが知っている悪魔
では、他にどのような選択肢があるのでしょうか?Dropbox、Googleなどのサービスでは、ワンタイムパスワードをテキストメッセージで携帯電話に送信し、それをメインのパスワードと組み合わせるオプションを提供しています。この二段階認証は、技術に精通している人や、重要だと判断したサイトでは有効ですが、何百万人ものユーザーにこの方法を押し付けようとするとどうなるでしょうか?そのユーザーの多くは「いつテキストメッセージが届くか当てる」ゲームが好きなAT&Tユーザーです。
もちろん、一部の銀行やPayPalが現在行っているように、デバイスに差し込むタイプの物理トークン(おっと、デバイスドライバーが間違っていました!)や、LCD画面に小さな変化するコードを表示するタイプのトークンを提供することも可能です。しかし、ユーザーがドングルをガラクタ置き場に放り込んだ後、ノームがトークンを盗んだ後に発生するサポートコールへの対応は、容易ではありません。車の鍵はなくてもいいのに、オンライン銀行に預金したり、30ドルの鋳鉄製ダッチオーブンの詳細なAmazonレビューをアップロードしたりするために、トークンが詰まった伸縮式キーチェーンを持ち歩かなければならないと考えると、絶望の淵に突き落とされます。
いいえ、私たちが話しているような規模の消費者サービスを考えると、トークンは使えません。毎月末にBillPayを再開したい人々の需要に応えられるほど、パネルバンで走り回るデジタル錠前屋は地球上にはいません。
生体認証はどうでしょうか?指紋リーダーは安価で、Androidスマートフォンにはロック解除用の顔認証機能が搭載されていますし、MacのFaceTime HDカメラの解像度は虹彩スキャンに対応できるほど高くなっています。これらは素晴らしい選択肢ですが、指紋リーダーが汚れたり、誰かがあなたの写真から高解像度のデジタルマスクを作ったり(はい、実際に使えます)、といった事態になれば話は別です。実際、指紋のコピーでさえ、最高級のスキャナー以外なら、ほとんど騙されてしまいます。
また、最初の認証層がどれだけ優れていても、攻撃者は中学校のマスコットの名前を推測するだけでそれを回避し、関連するアカウントをリセットできる可能性があります。
今日ここに、明日ここに
パスワードは、ニュースの見出しや技術の進歩にかかわらず、今後も存在し続けるでしょう。小規模であれば実用的な代替手段が見つかるかもしれませんが、特に私たちが暮らす消費者社会においては、幅広く実用的な代替手段は存在しません。そして、時にはそれが問題にならないこともあります。過去15年間、あらゆるオンラインアカウントに「wordpass」の様々なパスワードを使い続けてきた友人は、一度もハッキングされたことがありません。一方、私はクレジットカードを持っていますが、パスワードのルールがあまりにも分かりにくく、もはや記録しようとも思っていません。ログインが必要な稀な機会には、ランダムな文字列を入力してパスワードリセットツールを使うだけです。
これが、私がパスワードを嫌う理由の核心です。他に選択肢がないだけでなく、私が生きている間に状況が改善するとは思えません。USSエンタープライズの自爆システムでさえ、パスワード(入力ではなく、口頭で伝えるもの)で保護されています。
結局のところ、パスワードとは、感謝祭のたびに政治的陰謀論を熱心に語り続ける従兄弟のようなものだ。馬鹿げているとはいえ、決して手放せないと分かっているからこそ、ますます嫌悪感を募らせるのだ。
