Gigazineに驚きの記事が出ていました。パスワードは複雑にした方がいいという定説を作った人が,「大文字も数字も記号も意味がなかった」と発言したのだそうです。現在のパスワードの作成の主流を否定する発言は,どんな経緯で出てきたのでしょうね。
2003年に米国で,安全なパスワードを作るためのガイドラインが発表されました。その時のガイドラインは,次のようなものでした。
・大文字と小文字を併用すること
・数字と記号を混ぜること
・定期的にパスワードを変更すること
現在でも,様々なパスワードの設定基準になっている項目です。しかも,この3項目がパスワードを覚えにくくさせている元凶でもあると言えます。
確かに,パスワードを複雑にして,定期的に変更すれば,パスワードは相手に推察されにくくなります。これは,パスワードを入力するのが「人」の場合は有効かもしれませんが,「機械」が代わりに実行してくれる場合には全く効果がないということです。
機械は,設定されそうなパスワードを最初に試したら,その後は総当たり攻撃を仕掛けてくるでしょう。そうなれば,人間が覚えにくいパスワードにする必要など全くなくなってしまいます。言われてみれば,その通りなのですね。
総当たり攻撃を受けたら,そのうちに必ずヒットされてしまいます。Ginazineの記事では2段階認証などの防衛を推奨しています。
2段階認証を設定できないシステムの場合は,充分に長いパスワードを設定すればいいのではないでしょうか。大文字や記号も,気分に応じて使ってみるのもいいかもしれませんね。