2005年5月18日

　前回、いくつのIDを持てば良いのか、という話を書いたが、IDには当然ながらパスワードがつきものである。両者をセットにして個人認証を行う以上、IDだって必要以上に他人に知られない方が良いには違いないが、サービスの種類によってはIDは他者にも開示されるくらいであるから、IDだけなら、どこかにメモしておいてもさほど危険ではない。

　それは裏返せば、鍵として決定的に重要なのはパスワードだということだ。ところが、このパスワードがまた難物だ。サイトごとに何文字から何文字という制限の範囲が違う。大文字と小文字を区別するかしないかも違ったり、使える文字種も違ったりする。いや、そもそもそうした制限がすべて共通だったとしても、ちょっと知識のある人なら、複数の異なるサービスに同じパスワードを適用するのは避けた方が良いと考えるだろう。極論すればIDと同じ数だけパスワードも必要なのだ。

　そしてまた、他人から類推できるような意味のある言葉や、規則性のある文字列をパスワードにすることがいかに危険かもしばしば警告されている。そしてさらに、それらをどこかにメモしておくなどは愚の骨頂であることは言うまでもない。一人暮らしで絶対に自分しか使わないマシンになら、ソフトによっては暗号化して記録しておけるものもあるが、そうとばかりも限るまい。結局、全くの無意味で規則性もない文字列を、望ましくはサービスごとに異なるように、いくつも作り出して記憶しておかないことには、ネット社会の利便を安全に享受できないことになる。

　理屈は分かる。個別の場面では、私もやっぱり同じことを言う。だが、誰もがいくつものサービスを利用する現在、それをまともに実践することは現実的には無理だろう。個人認証ポータルというか、電子署名・電子印鑑のようなサービスがもうちょっと普及しないと、安全のためであるはずの教訓が、逆にセキュリティハザードを作り出しかねない。

●小笠原陽介 一覧へ●

●ご意見・ご感想をお寄せ下さい●