パスワード管理の現状と問題点（前）

日韓ビジネスコンサルタント　劉　明鎬　氏

　インターネットが一般に普及し、日常的に使われるようになって、20年以上の歳月が経過している。インターネットの普及で、世の中は以前と比べてものすごく便利になった反面、本人確認のために必要なパスワードなどの情報が盗まれたりして、不正ログインの被害が後を絶たない。

　しかし、不思議にもインターネットの普及から、かなりの歳月が経っているにも関わらず、パスワードによる本人認証の方法は、当初のままで、ほとんど進化していない。今回は各種のウェブサービスを使う際に、入力が要求されるユーザーIDとパスワードがどのように管理されていて、その結果、どのような問題が起こっているかについて取り上げてみよう。

　インターネットは非対面であるため、サービス提供者は利用者が本人であるかどうかを確認する必要がある。その際に、本人確認に一番多く活用されているのは、パスワードか暗唱番号という認証方法だろう。しかし、このパスワードで苦労している人が意外と多いのをご存じだろうか。

　パスワードの問題点の1つ目は、本人がそれを覚えないといけない、また覚えることが大変であるという点である。ウェブサイトが1つだけなら、何とか努力して、パスワード1つくらいは覚えられるが、これが複数となると、お手上げ状態となる。そこで、パスワードをノートなどに控えたりして管理する人もいるが、今度はノートをどこにしまったかを忘れて、ノートを探すのに苦労したりする。

　ウェブサイトによっては、パスワードの盗難事故に備えて、定期的にパスワードの変更を求めたり、推測しやすい単語や数字をパスワードにしないように推奨したりするが、利用者がそれをしっかり守るのは大変である。

　利用者が、推測されにくい複雑な単語をパスワードにすればするほど、パスワードを頻繁に変えれば変えるほど、盗難対策としてはよいかもしれないが、本人にとっては大きな負担となる。パスワードを覚えやすくしようとすると、盗まれる危険が高まるし、かといって、パスワードを複雑すると覚えにくくなる。パスワードというのは、とても厄介である。

　パスワードの2つ目の問題点は、ウェブサイトのなりすまし（偽サイトを作成して利用者が知らずにそこにIDやパスワードを入力するとその情報を盗む）、キーボードで入力した情報が盗み取られたり、通信回線に流れている情報が盗聴されたりして、パスワードが盗まれているという点である。　パスワードはこのような根本的な問題点を抱えている。

　それでは、パスワードの管理はどのように行われているのだろうか。利用者のパスワードはサービス側のデータベースにしまっていることが多い。しかし、問題はその情報を暗号化せずに保管している会社が多いということだ。ハッカーにしてみれば、パスワードが一カ所にしまってあるデータベースは狙いどころである。それでパスワードなどの個人情報が流出するトラブルが多発しているのだ。

（つづく）