多くのウェブサービスでは定期的なパスワードの変更を求めている。その理由は「セキュリティーを高めるため」とされているが、本当だろうか。ある研究によると、定期的にパスワードを変更することが、むしろ犯罪者にパスワードを推測されるリスクを高めることになるという。煩雑なパスワード管理は、壮大なムダだったかもしれない――。
※写真はイメージです(写真=iStock.com/Iphotography)

生活に根付いた「パスワード」の存在

アプリやウェブサービスがちまたにあふれ、身近な生活に浸透している。「あると便利な機能」だけでなく、銀行などの生活する上で「欠かせない機能」までもがインターネットにつながることが当たり前になってきた。それらを利用するには、利用者を特定するための本人認証を行う必要がある。

本人認証として一般的なのは、利用者にあらかじめ設定しておいたIDとパスワードを入力させる方法である。ビジネスにおいてもプライベートにおいても、少なくとも「1日1回は何かしらのパスワードを入力している」という人は多いのではないだろうか。それほどまでに生活に根付いたパスワードだが、昔からなじみがある暗証番号との違いは、数字だけではなくアルファベットや記号も使った「文字列」という点である。

インターネットはどこでも誰でもアクセスできることが売りだが、逆に言えば利用者の特定が難しくなる。

例えば銀行のATMであれば「キャッシュカードを持っていること」が本人である1つの証拠になるので、「暗証番号を知っていること」というもう1つの証拠との組み合わせで現金が下ろせる。一方、アプリやウェブサービスは「IDとパスワードを知っていること」だけで本人を認証するので、なりすましの防止のために暗証番号よりも複雑なパスワードの使用が求められるようになった。

パスワードを忘れてイライラする日々

このようにパスワードが身近になった今、利用者視点で見ると次のような場面に一度は遭遇したことがあるだろう。

IDとパスワードをブラウザーの機能で保存しているために、普段PCからアクセスしているウェブサービスにスマートフォンからアクセスしようとしたらパスワードを思い出せない……。

サービスごとにパスワードに使える文字の種別や桁数の要件が異なり、どれに何を設定したのか忘れてしまう……。

パスワードを使いまわしていたのに定期的な変更を求められて違うパスワードを使わざるを得なくなった……。

このような場面の救済策として、ブラウザーの情報を複数端末で共有できる機能や、複数のパスワードを管理するアプリケーションなどもあるが、一般的にはサービス自体に「パスワードを忘れた場合」の対処法が用意されている。秘密の質問を聞かれたり、メールで送られてくるURLにアクセスし直したりして、パスワードを再設定するのだ。

急いでいる時にこれらの手続きはなかなか厄介に感じるものだ。いざ再設定しようとして「以前使用したパスワードは使えません」などと言われて、さらにイライラした経験がある人も多いはず。