パスワード運用の利便性と安全性の両立は問題だ。セキュリティーの専門家が言うような運用*1を行っていくのは不可能に思えるときもある。実際は、どこかで妥協している。凄く低レベルの機密性しかないケースもある*2。
トレンドマイクロのパスワード運用に関する調査では、同じパスワードを複数サービスで使いまわす、手帳やノートにメモに書き出す、欧文小文字と数字など2種類の文字で構成される、変更はほとんどされないなどの傾向が報告されている。
この調査は色々と参考になるのだが、パスワード作成時にランダムになるように心がけているのか、二段階認証やワンタイムパスワードの利用状況、パスワード漏洩被害の経験の有無、パスワード統合プロトコル(OpenID)の認知度が分からない。そこで、このブログを読んでくれた方に、どのような運用をされているか聞いてみたい。
こういう簡易なネット上のアンケートはバイアスが入るので厳密な議論にはならないのだが、個人的体験よりは、世間を語るのにずっと良い。ある程度の回答数で結果は公開する予定だ。
今のところは、パスワード作成は、乱数やソフトウェアではなく、単語や数字を組み合わせる人が76%と多いようだ*3。「覚えやすいもの」と言う、誕生日か何か*4を使っているのではないかと言うモノもあった。2段階認証プロセスの利用者は48%、ワンタイムパスワードは16%、パスワードの漏洩被害は24%(実害は4%)、OpenIDの利用率は12%となっている。
*1「よくある6つのアカウント乗っ取り攻撃とその対策」を参照。
*2付箋紙でモニターにパスワードを貼り付けているケースもあるし、スクリーン・セーバーにパスワードが表示されている事もあるそうだ。
*3マイクロソフト社も「安全性の高いパスワードの作成」で、文書からパスワードを作る方法を推奨している。厳密には乱数よりも強度は下がるはずだが。なお、筆者は色々と考えて乱数列を出すのが面倒に感じるのと、他者が作ったパスワード作成ツールを信頼していいのかと言う問題があるため、Rでパスワードを作っている。
*4これは危険な作成方法だ。キャッシュカードの暗証番号を誕生日にしておいて、キャッシュカードの盗難被害後に、さらに預金が引き出される事件もある。もっとも最近のサービスでは、少なくともアルファベットと数字を組み合わせたパスワードでないと、入力エラーになる事が多いようだ。
0 コメント:
コメントを投稿