誕生日パスワードの危険性
さて、今回は、あなたが共有してくれたブログ記事、「生年月日をパスワードにするぐらいなら無防備でいい。」について、ちょっと深く話していきたいんですけど。
はい。
誕生日をパスワードにするのがダメなんて、まあ、みんな知ってるじゃないですか。
ええ、そうですね。
でも、この記事が浮き彫りにしてる、その裏にあるなんていうか、企業の理屈とか、状況のバカバカしさには、本当に考えさせられるものがありますよね。
ええ。
まず、この記事で一番わかるってなったのが、筆者の体験談なんです。
ほう。
毎月メールで携帯電話の請求書のPDFが送られてくると、で、そのパスワードが、ご丁寧に自分の生年月日だっていう話で。
ああ、よくある話ですね。
笑っちゃいますよね。
筆者も書いてますけど、誕生日なんてもはや名前と同じくらいの公開情報だって。
まさにそこが問題の入り口なんですよね。
確かにSNSとか見てればすぐわかっちゃいますし。
ええ。しかも、技術的な脆弱性っていう視点で見ると、もっと深刻なんです。
と言いますと?
例えば、19950415みたいなパスワードって、たった8桁の数字ですよね。
はい、そうですね。
今の普通のコンピューターなら、ブルートフォース攻撃、つまり総当たりで全ての組み合わせを試すのに、ほんと1秒もかからないんですよ。
1秒もかからない?
ええ。人が推測できるとか、そういうレベルじゃなくて、機械にとってはもう存在しないのも同然なんです。
それはもう鍵じゃなくて、ドアノブに鍵かかってますって貼った付箋を貼ってるようなものですね。
まさにその通りです。
でもこの話で一番信じられないのは、パスワードのヒントが何を隠そう、メールの本文にパスワードはあなたの青年合併8桁ですって、もうそのまま書いてあることなんです。
ああ、はいはい。
これじゃあ泥棒に、かんこの番号は1234ですって教えてるのと同じじゃないですか。
そうなんですよ。これがいわゆるセキュリティごっこ、英語で言うとセキュリティシアターの典型例ですね。
セキュリティごっこですか。面白い言葉ですね。他にはどういうものが?
一番わかりやすい例が空港の保安検査です。
ああ、なるほど。
厳しいチェックをしているように見えても、もし検査官がマニュアル通りに仕事をしていない瞬間があれば、そのシステム全体が意味をなさなくなる。
確かに。
形だけの安心感を演出しているだけで、実際には機能していない状態。今回の請求書のパスワードはまさにそのデジタル版というわけです。
セキュリティ意識の低下
なるほど。でもちょっとだけ企業の方を持つとすれば、彼らも何千何万人というITに詳しくない顧客を相手にしているわけで。
ええ、もちろん。
複雑なパスワードを導入して問い合わせが殺到するよりは、こういう単純なものでもないよりはマシって考えたんじゃないでしょうか。
そのないよりはマシという考え方が実は一番危険なんです。
そうなんですか?
はい。なぜならこういう体験を繰り返すことで、ユーザーはどうせセキュリティなんて面倒なだけで意味のない手続きだと学習してしまうからなんです。
ああ。
いわゆるセキュリティ疲れという状態ですね。
セキュリティ疲れ?
ええ。その結果本当に重要な、例えばネットバンキングのようなサービスでさえセキュリティ意識が低下してしまう。
この一件の請求書がユーザー全体のセキュリティ感を無所組んでいる可能性があるんです。
うわ、それは根が深い問題ですね。
セキュリティごっこが本物のセキュリティへの信頼まで壊してしまうと。
そうなんです。
僕も昔、会員の名前をパスワードにして誰も知らないだろうなんて思ってましたけど、今思うと友人なら誰でも推測できますもんね。
ええ。
結局利便性を優先しちゃう真理は誰にでもあるのかもしれない。
そうなんですよ。誕生日だけでなく、パスワード123やペットの名前も根っこは同じです。
守ることよりも覚えていることの簡単さを優先してしまう。
それは私たちの周りにあるシステムがセキュリティを本質ではなくパフォーマンスとして扱ってきて結果とも言えるかもしれません。
ということは、この記事が指摘しているのは単にこの会社のパスワードがダメという話じゃなくて、
はい。
セキュリティやってます感が本物の安全より優先される書会全体の歪みということなんですね。
そういうことです。
だから最後にあなたに一つ考えてみてほしいんです。
はい。
オンラインの世界を離れてあなたの日常生活の中にこういう簡単に推測できてしまうパスワードのようなものは存在しないでしょうか。
日常生活の中のですか。
ええ、例えばいつも同じ道順、変えることのない思い込み、自分を守っているつもりが実はあなたを最も無防備にしている心の鍵について。
少しだけ思いを巡らせてみるのも面白いかもしれません。
