Passwordは、おかしな文字列より長く覚えやすいフレーズに(NIST)

A Wikipedia sign in form requesting a username and password / Wikipedia

米国の業界規格設定を手掛ける国立標準技術研究所(NIST)の「NISTスペシャルパブリケーション 800-63」は、今年6月に全面改定され、パスワードに関する指令の最悪の部分は捨て去られました。改定には2年かかり、作業を担当したNISTのポール・グラッシ氏によれば、改定は当初、簡単な編集で終わると考えられていたそうです。

2003年に作成された8ページの文書には、インターネットで使うアカウントを守る方法として、パスワードに記号や大文字や数字を盛り込み、定期的に変更するよう勧めていました。

いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字(記号)を必須条件にしていません。これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」とグラッシ氏は述べています。

今では、おかしな文字列より長く覚えやすいフレーズの方が支持されています。さらに NISTによると「ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけです」と述べています。

パスワード研究者らによると、単語を4つ並べたパスワードの方が、それより短い奇妙な文字の寄せ集めよりもハッカーには破りにくいと言います。文字数が多い方が、それより少ない文字・記号・数字を並べたものより難しくなるためと述べています。

二段階認証など認証の多様化が進んではいますが、悩まされる事も多いパスワードの設定です。覚えやすい長い文字列、例えば自身が感動したフレーズ「love is love is love is love is love is love cannot be killed or swept aside.」なども良いかも知れません(^^)

NIST Advanced Measurement Laboratory (AML) building Gaitherburg, MD. / Wikipedia

パスワード管理に関する有名な冊子(NIST Special Publication 800-63)の執筆者ビル・バー氏(72)は、あれは失敗作だったと告白しています。

中学生のランサムウエア作成容疑とIT人材白書2017

不正アクセス年代別推移(データ元:警察庁「不正アクセス行為の発生状況」)/ Tetsu=TaLow

ランサムウェア(身代金ウイルス)を自作したとして、中学3年の男子生徒(14)を不正指令電磁的記録作成・保管の疑いで逮捕。ランサムウェアの作成容疑での立件は全国初。任意の捜査に生徒は「力試しに作ってみたらできた」と話しています。

このニュースに対して、新聞、テレビなどのマスメディアの報道やセキュリティ専門会社の解説では、「ランサムウェア」と「中学生」「ITモラル」を主題に、セキュリティやモラル教育の重要性を指摘することに止まっています。

プログラマーの皆さんは、自作したとされるプログラムの犯罪成立要件を分析、さらに14歳の男子生徒の能力や、その活かし方まで踏み込んで議論しています。
同じ能力でも、悪意のクラッカーとハッカー、犯罪者と優れた捜査官、金融や証券犯罪者と証券取引監視委員会(SEC)などなど、多くの映画の題材にもなっていますが、悪意ではない「優れた能力」や「探究心や努力」は抑制するのではなく、公共的利益のために活かすべきだと思います。

安倍首相はテスラのイーロン・マスクCEOに惚れ込んでいますが、マスク氏は10歳のときにコンピュータを買い、プログラミングを独学しています。Googleのラリー・ペイジ氏は6歳の頃からコンピュータを触り始めています。Appleの共同創業者故スティーブ・ジョブズ氏は、13歳の時にHPの社長宅に周波数カウンターの部品をもらいに押しかけ、HPでアルバイトをしています。

好奇心が旺盛で多感な中学時代、その後の人生を左右する「才能」や「優れた能力」を密かに発揮する機会が多いと思います。社会が「多様性」や「寛容さ」を失っては、日本にシリコンバレーができることはないでしょう。終戦直後は貧しくても「社会の寛容さ」に溢れていたように思いますが・・・。

国民の「ITスキル」が高い国は、世界競争力も生産性も高くなり、社会保障費も抑制できます。
下図は日本、米国、カナダ、イギリス、ドイツ、フランスのIT企業とそれ以外の企業に所属する情報処理・通信に携わる人材の割合を比較したものです。日本はIT企業に所属する情報処理・通信に携わる人材の割合が72%と突出して高くなっています。一方、日本以外の国は、IT企業以外の割合が5割を超えており、米国が65.4%と最も高くなっています。これは、日本国民の「ITスキル」が低いことを表しています。