nDiki

パスワードを使い回す人が悪なのか

まずもって、パスワードリストを流通・取引している人、それらを使って不正ログイン・不正アクセスを行う人が悪である。

またIDとパスワードを流出させてしまった事業者や、安全ではないプロトコルでパスワードを流すようなサービスを提供している事業者にも責任がある。

そういった状況の中で、不正ログイン・不正アクセスされる可能性/被害を最小限にするためには、パスワード認証を採用しているサービス毎に複雑で十分な長さの異なるパスワードを使うようにしていくのが各利用者にとって良い対策であるという話であり、そして事業者側も継続的にそうしていただくことをお願いしているというわけである。

「ユーザーがパスワードを使い回しているのが悪い! 変えろ!」という感情であったりはまったく無い。

複雑なパスワードを個別に作って管理するというのはそもそもかなり面倒くさい(当然やっているけれど)。ある一定数以上になったらパスワード管理ツールは必須だし、しかし(一般の人には)どれが良いパスワード管理ツールなのかというのはなかなかわかりにくいし、パスワード管理ツールを使ったら使ったでデータファイルのバックアップやデバイス間の同期をどうするかなども考える必要がでてくるし面倒くさい。

「パスワードをサービス毎に変えてください」というお願いだけでは、ユーザーの方はそうはいってもどうすればいいかわからないし、面倒くさいで終わってしまいやすい。どうしていくのがいいかもきちんと説明していった方がいいのだと思う(そしてもちろん各種不正ログイン・不正アクセスの対策を進めたり、より良い認証方法を検討・導入したりしていく)。

• 自分が使っているパスワード管理ツール
  • KeePass ファミリ
• 安全なパスワードの作り方
  • matsutakegohan1's blog サービスごとに異なる安全なパスワードの作り方(修正)
  • matsutakegohan1's blog ブルース・シュナイアーさんの安全なパスワード文字列の作り方