パスワードを12文字以上にすれば、必ずしも記号を使う必要はない――。先日、こうした記事を執筆した。おかげさまで多くの読者から反響をいただいたが、その中に記事の痛いところを突く指摘があった。
それは「12文字以上のパスワードが設定できないWebサイトもある」というもので、確かにその通りだ。記者自身、あるWebサイトで6文字以上8文字以下のパスワードの設定を求められ、考え出すのにひどく苦労した記憶がある。
記者が利用しているWebサイトは仕事用も含めると何十個とある。多くの読者も同様だと思う。全てのWebサイトで別々のパスワードを考えて管理するのはつらい。その点で、上記の関連記事でJPCERTコーディネーションセンター(JPCERT/CC)が示した方法はとても魅力的だ。複数の単語を組み合わせてパスワードを作り、Webサイトによって単語を変えればいいという方法だ。
だが、世の中にはパスワードの文字数に上限を設けるWebサイトが少なくない。そうしたWebサイトでは、JPCERT/CCが示した方法で作成したパスワードを登録できない。パスワードの上限文字数が少ないWebサイトでは、数字や記号を組み合わせた1つの単語や無意味な文字列にせざるを得ない。
はっきり言って、Webサイトごとに異なるポリシーでパスワードを作成するのは面倒にもほどがある。JPCERT/CCが示すパスワード作成法の良さも半減する。パスワード文字数の上限など、さっさとこの世から消えてほしい。
文字数の上限に合理的な理由はない
そもそも、パスワード文字数に上限を設ける技術的な理由・根拠はあるのか。NRIセキュアテクノロジーズで認証技術を手掛ける大島修ソリューション事業本部上級セキュリティエンジニアに率直にぶつけてみると、「何十年も前に作ったシステムならともかく、今のシステムで合理的な理由があるとは思えない」との回答だった。
