今や生活必需品と言っても過言ではないスマートフォン、タブレット端末、パソコン、システムサービス、オンラインストレージ等、どれか一つはお使いではないでしょうか。それらを利用する際には、本人であることを証明して「認証」される必要があります。その認証には、「知識・所持・生体」という３つの要素があり、この中でも長く使用されてきたのが「知識」の要素である「ＩＤとパスワード」です。

　パスワードによる認証は1960年代に発明されたそうで、60年近く経った現在も多くのサービスで使用されています。パスワードについて近年考え方が変わっていることについてご存じでしょうか。2011年に情報処理推進機構（以下IPA）が下記指針を公表しておりました。

「パスワードの強化として、使用できる文字種（大小英文字、数字、記号）全てを組み合わせ、8文字以上のパスワードにしましょう。辞書に載っているような単語や人名は使用を避けてください。」

（■引用：IPA「ぼくだけのひみつのかぎさ、パスワード」より「ＩＤとパスワードは適切に管理」より（引用元は残念ながらリンク切れになっております））

　上記に加え、パスワードの定期的な変更が推奨されていましたが、昨年の2023年5月に総務省から、パスワードの定期変更は不要と発表がありました。

「安全なパスワード管理｜国民のためのサイバーセキュリティサイト」

この背景には、パスワードを定期的に変更させられるようになると「複雑なパスワードを作っても覚えておくことができず、変更しても覚えていられる簡単なパスワード」を作ってしまうという心理が働くためとも考えられます。

　「定期的な変更は必要なく、英小大文字と数字、記号の組み合わせで10桁以上を推奨している」とのことですが、本当に安全なのかを以下の海外のサイトでパスワードを入力して強度（目安として解読時間）を確かめてみました。

「How Secure Is Your Password?」

　上表より、「英小大文字+数字+記号」を使用した「8桁」のパスワード（8時間）よりも、「英小文字+数字」の「10桁」の方（1日）が、解読には時間を要していることが結果から読み取れます。

　現在の内閣サイバーセキュリティセンターが発行する「インターネットの安全・安心ハンドブック」による「英小大文字と数字、記号の組み合わせで10桁以上」については表より、解読に5年かかると試算されており、「今のところ」問題ないということが伺えます。

なお、パスワードの安全性を確認した上記サイトによりますと、「16桁以上」を推奨していました。

　長いパスワードが安全という結果が出ましたが、今後も安心かと言われればそうではないと考えます。なぜなら、パスワードの解析にグラフィック（以下GPU）が使用されており、GPUも様々な場面で利用されるようになってきているからです。GPUの利用は、VR（仮想現実)やAIの進化の源でもあり、さらなるテクノロジーの進歩により、今後も利用が増え高性能化していくことは想像に難くなく、パスワードの解読速度も比例して向上していくと容易に推測できます。様々な資料を見ていますと、パスワードを使いまわさないという指針はどのサイトもおおよそ同じですが、設定したパスワードをサービスごとに覚えておくことは困難かと思います。以下のサイトなどを参考にパスワードの変更を検討してみてはいかがでしょうか

「チョコっとプラスパスワード」

「警察庁（サイバー警察局>基本的なセキュリティ対策）②IDとパスワードの適切な管理-安全なパスワードの設定方法」

　今回を機会に、「安全に」パソコンやサービスなどご利用いただくための一助になれば幸いです。

（文責：京都事務所　坂本）