|目次|次

パスワードの問題点

現在、パスワードや暗証番号を使って利用者の確認をするパスワード認証方式が 広く使われています。 この方式は、サーバー側のプログラムが簡単であり、開発費用が抑えられ、 特別な装置が必要でないという利点があります。一方、以下に挙げるような 欠点があり、高度なセキュリティを必要とする場面には適していないと 考えられています。

攻撃者に推測されやすい
利用者はパスワードを暗記しておかなければなりません。そのために、 覚えやすい単語や数字をパスワードにしてしまいます。辞書に載っている 単語は攻撃者に取ってもすぐに推測できますし、利用者の家族やペットの名前 なども個人情報を取得されれば、攻撃者に分かってしまいます。 (パスワードを使う場合は、ふつうの言葉ではなく語呂合わせや、 わざと間違った単語を使うようにします。それも誰でも思いつくような ものではいけません)
漏洩しやすい
パスワードは通信回線を盗聴されたり、キー入力を記録されたりすると 簡単に盗み取られてしまいます。(SSLなどの暗号化された通信を使用 するようにします)
漏洩の影響期間が長い
一度パスワードが盗まれると、そのことに気付くまでは ずっと不正利用されます。盗まれたことに気づくのは 損害を受けてからとなります。 (短い期間で定期的にパスワードを変更するようにします。 ただしそれだけでは十分な対策でありません)
覚えられない
推測されにくい言葉を使ったり、短い期間で変更したりしていると、 パスワードを覚えておくことが難しくなります。 たった一種類のパスワードならなんとか覚えられるかも知れませんが、 キャッシュカードやクレジットカードがそれぞれ何枚もあって、 別々のパスワード(暗証番号)だったら、とても覚えていられません。 しかし、たとえばロッカーの暗唱番号とキャッシュカードの暗証番号を 同じにしておくと、パスワードが盗まれたときに非常に危険になります。
そしてこの問題には対応策がありません。 パスワードを覚えやすくしようとすると、盗まれる危険が高まります。 盗まれる危険を減らすと、覚えにくくなります。