GoogleをはじめとしたWebサービスにおいて私が私であることを認証する手段は、パスワードが主役であり、それに取って代わるレベルの画期的な発明はまだなされていない。スマホやタブレット発で指紋や顔の認証が実装されているものの、例えばスマホで顔認証に失敗したときパスコードが求められるように、現時点ではパスワード認証のおまけ程度の振る舞いしか許されていない。

したがってパスワードは、Webサービスを安全に継続して使うための生命線だ。自分は忘れず、他人には推測できず、各サービスが定めた要件に則ったパスワードを決めねばならない。これはとても難しく、ミスを犯しやすい。ミスを大別すれば、簡単すぎるか難しすぎるかだ。

ここ10年で隆盛が著しいSNSでは、アカウントごと乗っ取られ、他人に成り代わられたり大量の広告を投稿されたりする被害が相次いでいる。こうなってしまう原因のほとんどは、予測可能なほど簡単なパスワードにある。アルファベットと数字を含み8文字以上。これがWebサービスの典型的なパスワード要件だ。したがってユーザーが設定するパスワードはたいていアルファベット＋数字になる。その中でも、下の名前＋誕生日4けた、大文字が必須のときは頭文字、という形は最もポピュラーだろう。これをハッカーが探り出すのは極めて容易だ。他のサービスでも同じパスワードを使っていることが多いから、自ずと被害は広がってゆく。

たとえばFacebookで生年月日を公開設定にしていたらどうか。姓名は当然公開されているから、探り出すも何も、名前とパスワードをデカデカと書いたTシャツを着て歩いているようなものである。すぐに変更を促すのは言うまでもない。

一方で、サービスごとに違う複雑なパスワードを設定した結果、いざログインするときに忘れて、そのたび再発行する羽目になる「パスワード地獄」に陥る人も多い。セキュリティーを重視する目的で複雑、別々にせよという啓発記事をよく見かけるが、トータルでデメリットのほうが多いと感じる。効きすぎる薬のようなもので、ウイルスと同時に必要な菌までやっつけてしまい自分の首を絞めるのだ。

また、パスワードに加えてその時ごとに発行され送られてくる認証コードを入力して認証する「2段階認証」の導入も盛んだ。オンラインバンキングや仮想通貨などの分野では必須になっていることが多く、異論はない。だが「2ファクタ認証」の名で半強制的に導入されたAppleIDのそれには、しばしば困らされる。高齢のiPhoneユーザーが知らない間に2ファクタ認証を有効にしたがそもそも仕組みを理解しておらず、突然出てくる謎の地図表示に驚いて相談してくる事例に事欠かない。冒頭に述べた「パスコード」も同様だ。これらも複雑すぎるパスワードと同じカテゴリの問題だろう。

結局どうすればよいのか。今のところ僕がやっているスタイルは次のようなものだ。

まず、姓名や住所などに全く関係しない英字のフレーズ8文字(A)と、乱数的な数字16ケタ(B)を決めた。元来は覚えにくい性質のものだが、中学生の時に決めて以来変えていないので強固な記憶になっている。これを、各サービスの要件に従って、左から必要な文字数分だけ使う。たとえば要件なしまたはアルファベットのみで可ならA、英数字混在からA＋Bの最初4文字、さらに字数が求められるときはBの文字数を増やす、記号も必須ならAB間に「-」(ハイフン)といった要領だ。上記の規則をすべてのサービスで踏襲する。同じパスワードを複数サービスで使うわけで、賛否両論あろう。しかし、自分自身の首を絞めては元も子もないという考えを踏まえたバランスだ。

万一ハッキングの被害にあったときは、その規則性を一旦リセットして、別のフレーズと数字を決め直し、各サービス一斉にパスワードを変更していくことになる。僕のスタイルではこの手間はリスクとして自覚しておく必要があるだろう。

そしてこれらを記録するパスワード帳は絶対必要だ。お客さんにも事あるごとに作成をお願いしている。僕の場合は自作の業務管理システムがあるのでその中に記録しているが、Excel等の表で管理するのが一般的だ。サービス名、ID、パスワード、URL、備考。この程度の列で足りる。もしそれがハッキングされたらどうするのかというのは当然に心配だろう。Excelほか表計算アプリでは、ファイルを開くときにパスワードを求める機能が広く搭載されているので、これを使うと良い。いわばマスターパスワードを使うしくみだ。パスワードの上塗りかよという悲嘆の声が聞こえてくるが、無視する。もとい真面目に返答すれば、一貫性に従うなどして、ストレスを軽減されたい。

パスワード管理の難しさについて皆さんはどうお考えだろうか。この問題に対する人間の試行錯誤はまだしばらく続いていくことになりそうだ。