パスワードを考えるときのあの苦労は一体…。

｢小文字に大文字、数字や特殊文字などを含める｣というのは、言わずとしれたパスワードを作るときの絶対的なルールですよね。長い間、この規則はあらゆる場面でパスワード設定の基本となっていました。しかし、15年前にこのスタンダードを考案した男性が今になってこのルールは失敗だったと認めています。そして、とても申し訳なく思っているとか。

問題の人物の名前は、ビル・バーさん。アメリカ国立標準技術研究所（NIST）の元マネージャーです。2003年にバー氏は、｢NISTスペシャルパブリケーション800-63 別表A｣と呼ばれる、安全なパスワードを作る方法についての8ページに及ぶガイドラインを起草しました。これが、メールアカウントからオンラインバンキングのログイン画面に至るまでのパスワード要件を多かれ少なかれ規定し続ける文書となったのです。つまり、大文字と特殊文字、そして数字を使えといったルールは全部、ビルさんのせいということになります。

しかし唯一の問題点は、そのガイドラインが執筆された2003年当時、パスワードがどのように働くのかビルさんはあまりわかっていなかったということ。彼はセキュリティのエキスパートではなかったのです。そして引退して72歳となった今、謝りたいと思っているとか。

つい最近、ビルさんはウォール・ストリート・ジャーナルで｢自分がしたことの多くを後悔してる｣と語り、彼のパスワードに関する調査の多くは、ウェブが発明されるだいぶ前の1980年代に書かれた白書から得たものだと認めました。｢結局のところは、多くの人にとって指針の一覧はちゃんと理解してもらうには複雑すぎて、実のところは見当違いだった｣と述べています。

ビルさんの見解は間違っていません。ある単純な計算によれば、パスワードは覚えやすい単語を並べた長いものよりも、おかしな文字の羅列で短いもののほうが破られやすいんだとか。NASAの元ロボット研究者によるサイトXKCDに掲載されたコミックでは、コンピューターがパスワードを推測するのにかかる時間は、意味をなさないランダムな文字列だとおよそ3日なのに対し、4つの単純な単語を並べたものだと550年もかかると描かれています。

こういったわけで最新のNISTガイドラインでは、ビルさんが安全だと思ってた覚えにくい文字の羅列よりも、長めのパスワードを作ることを推奨しています。

何もかもにパスワードが求められる時代になって、ビルさんの考えたパスワード規則は失敗作だったとわかったわけですが、そうなったのは彼だけのせいではありません。というのも、パスワードと情報セキュリティに関するリサーチを探す場合、現在なら何百万という例が出てきますが、15年前は微々たるものだったのです。そしてウェブ黎明期に思い付いたアイデアを後悔しているのも彼だけではありません。ポップアップ広告を開発した男性も、ウェブアドレスのhttpの後にあるダブルスラッシュ（//）を開発したワールド・ワイド・ウェブの父、ティム・バーナーズ＝リーさんも昔のアイデアを後悔しているのです。

テクノロジーはトライ＆エラーの連続です。ジェフ・ベゾスやマーク・ザッカーバーグのように成功すれば、その報酬はすばらしいもの。その一方で、インターネットユーザーたちの時間を無駄にしてしまうような失敗だったとしたら、ビルさんのように後になって悔やむことになる…のかもしれません。

・アメリカ、IoTデバイスにセキュリティ機能の搭載を強制する法案が提出

Image: Gizmodo US

Source: Wall Street Journal, XKCD

Adam Clark Estes - Gizmodo US［原文］

（たもり）