破られるのが前提!? パスワードの有効期限。
さて、すったもんだのあげくに決まったパスワード、長く使いたいですよね。
ところが最近のコンピュータは「長くパスワードを使おう」なんて悠長なことは許してくれません。
以前は物持ちの悪い人はおじいちゃんに怒られたりしましたが、セキュリティの世界では物持ちのよさはちっとも自慢にならないのです。
パスワードは使い回しもいけないので、なんだかエコロジーな思想に反する気がします。
1個のパスワードをどのくらい使わせてもらえるのでしょうか? 私のパソコンの設定を確かめてみます。
パスワードについていろいろ取り決められていますが、まず「パスワードの有効期限」に注目してください。
「14日」になっていますね。
これは、「そのパスワードにしてからは日が経過したら、新しいパスワードを入れないと無効になっちゃうよ」ということです。
これは絶対に14日と定まっているわけではなくて、自分で取り決めを作ることができます(ちなみに0日にすると無期限を意味します)。
14日はさすがに短いですが、30日くらいにしている企業はたくさんあります。
毎月、月末になると「そろそろパスワードの有効期限が切れます」という表示がパソコンの電源を入れるたびに現れて、憂鬱になった経験はありませんか? なぜ、あんなめんどくさいことをしているかというと、「パスワードは運用していく中で強くなる」ものだからです。
「運用しないと弱くなる」でもいいですけど。
資産運用と一緒で、ただ貯めておいても税金は高くなるし、年金は目減りするしでジリ貧です。
運用しないと幸せは来ないよ、と覚えましょう。
これは、パスワードが知識による認証方式であることと密接に絡んでいます。
前述のように、パスワードは知識という「実体のないもの」ですから、とってももれやすいのです。
ケーススタディを見てみましょう。
【ケース1】A子さん「J係長代理補佐はいつも若々しくて、とても定年間際とは思えません」Jさん「そうじゃろ、そうじゃろ。
気も体も若くて、まだまだ九九も鶴亀算もばっちりじゃ」A子さん「ほんとお元気でうらやましいです」Jさん「しかし、記憶力だけは自信がなくなってきてのう。
でも、そこはそれ、年の功というやうつ。
転ばぬ先の杖じゃ。
ちゃーんと大事なパスワードは、付箋に書いて貼ってあるのじゃ」A子さん「…………。
」【ケース2】管理者R「もしもし、システム管理部です」見知らぬ電話「あー、もしもし。
私はF常務だ。
今、取引先で商談をしているんだがね」管理者R「それはご苦労様です」見知らぬ電話「もう少しででかい案件を落札できそうなんだ。
ついては、最終交渉額を確定させるため社内システムにアクセスしたいのだが、パスワードを忘れた。
教えてくれ」管理者R「えっ、それは規定でできないことになっていますが」見知らぬ電話「なんだと。
それじゃ、君の杓子定規な対応でこの取引が不発に終わった場合、君が責任を取ってくれるんだな?」管理者R「ひいいっ! それだけはご勘弁をF常務のパスワード○○○○です」【ケース3】Yさん「あれっ、またパスワードを間違えた。
いやだなあ。
Kさんはいつもいつもよくパスワードを正確に覚えていられますね」Kさん「俺はその月の誕生石をそのままパスワードにしているからな。
忘れるわけないよ。
頭を使うんだよ、頭を!」通りすがりの犯罪者「(なるほど、しめしめ)」いかがでしょうか。
どのケースの登場人物も、「とんでもない大失敗」はしていないと思います。
日常の何気ない行動、会話です(ケース2は怪しいですけどね)。
でも、周りにちょっとピンとくる人がいれば、これだけでパスワードはもれてしまうのです。
これは「知識を使う」パスワードという方式の構造的な問題と言えます。
また、パスワードは組み合わせられる数に限りがありますから、全部の組み合わせを試せばどこかで「当たり」を必ず引くことになります。
そ・こ・で、パスワードの有効期限が定められているのです。
パスワードというしくみを強力にする施策ではありません。
むしろ、パスワードの弱さを認めた上で、「いやあ、パスワードって元々弱いものだからすぐ見破られちゃうけど、見破られちゃう前にころころ変えればいいんだよね?」という開き直りにも似たやり方です。
借金取りから夜逃げして、ねぐらを転々とする生活に似た悲壮感が漂います。