最近ではネットショッピングやSNSなどでIDとパスワードを使う機会が多い。ボクも御多分にもれずあちこちのECサイトやSNSなどで限りないほどのIDとパスワードを使っている。もっとも最近では一度登録したWebサイトではパソコンやスマホがIDやパスワードを記憶していて自動で入力してくれるので便利になった。

自動で入力されることが不安だという人もいるが、ボクは自動入力してくれるサイトではかえって安心している。本物に似たようなURLに誘導されることも多い昨今、誘導されたサイトのURLが一文字でも違っていればパスワードは自動入力されない。自動入力されないことで「このサイトはニセモノかもしれない」と気づくわけだ。

パスワードといえば昔の合言葉のようなものだ。子供の頃に友達と忍者ごっこをして「合言葉は?」「山」「川」などとやっていた頃が懐かしい。今では一番身近なのが銀行のキャッシュカードの暗証番号だろう。4桁の数字で多くの人が自分や恋人の誕生日、車のナンバーなどを使っている。だから見破るのは至極簡単だ。はっきりいってパスワードとしての価値はない。

ではどれくらいの強度があればパスワードとして妥当かということになるが、我われがしょっちゅう使うネットショッピングなどでは15〜20桁の英数記号文字のアットランダムな文字列ならまぁ「よし」とされることが多い。月に一度はクレジットカードの請求が来るから、パスワードを破られたとしても1ヶ月以内には発覚する可能性が高いからだ。

ところであなたは普段、何桁くらいのパスワードを設定しているだろうか。10桁?15桁?20桁?それ以上?あまりに長くて複雑なパスワードを設定すると自分でも覚え切れるものではない。だからノートやメモ帳に書いたりパソコンにパスワードを書いたファイルを作る人もいる。

先日のセミナーに来ていたお年寄りは「パスワードを決めてください」「そしてそれを忘れないようにしてください」と言ったら鞄の中から小さな紙切れを出して鉛筆でメモしていた。書き終わったので「誰にも知られないようにしてください」と言ったら慌ててズボンのポケットにしまっていた。たぶんそのまま洗濯されて永久に誰にも知られることはないだろう、もちろん自分も。

ボクが普段使っているIDとパスワードの組み合わせはおそらく100を越えている。そのすべてが異なる10〜25桁ほどのランダムな文字列だ。もちろんそんなものを覚えていることはできないのでパスワード管理ツールというものを使っている。

Webサイトに自動入力されなかった時に、「このサイトは本物に間違いない」と確信したときだけパスワード管理ツールを使って入力する。もはやIDもパスワードの桁数すら覚えていないが、簡単なパスワードにしてあったとしても覚えていなければ同じことなので

_%-0@W$Y+P_%s-}?{?4p-AP

などというような訳のわからない文字列をツールに乱数で作らせて設定している。そんな長大なパスワードもコンピュータの進化で簡単に破られる時代が来るのかもしれない。その時こそ人類がパスワードに別れを告げる時だ。

次に来るのは生体認証なのかどうかはわからないが、生体認証だって破られない保証はない。我々のイタチごっこはいつまで続くのだろうか。

※ちなみにボクの使っているパスワード管理ツールは「KeePassXC」という無料のツールです。興味のある方は参考にしてみてください。