最近、企業のお客様との会話で「セキュリティリスク」について面白い話題が出ました。
かつて、PCのパスワードを忘れてしまった場合に、ポストイット(付箋紙)にパスワードを書き残してPCに貼り付けるという行動をする「管理職おじさん」を多く目にしてきました。当時は「パスワードの意味が薄れるのではないか」と考えていましたが、最近ではその方法も一理あるのではないかと感じています。この記事ではその理由について掘り下げていきます。
デジタル化が進む社会では、「パスワード」が増える一方で、多くの人々が困惑しています。特に高齢者がデジタル技術に苦手意識を持つ一因として、「パスワードを覚えられない」という点が挙げられます。これは高齢者に限らず、広く共有される問題です。
パスワードは何のために設定するのか
パスワードの設定目的を考えてみましょう。主な目的は「なりすまし、情報漏えい、金銭被害」などです。主な対象は「通販サイト、アプリ登録」などが挙げられます。
攻撃方法や目的思考について考えると、攻撃方法は「ピンポイント、不特定多数」があり、目的思考は「単なる嫌がらせ、犯罪目的」などが考えられます。
確率論(プラス危険度や影響度)について
次に、確率論や危険度、影響度について考えます。一般的に、最も低い確率の攻撃は「個人を狙ったピンポイント攻撃の犯罪目的」と考えられ、逆に最も高い確率の攻撃は「多くの人を対象とした嫌がらせ、犯罪目的」です。
自分が個別に狙われる著名人か、あるいは偶然ハッカー集団に見つけられた一般人かによって、対処方法が異なります。著名人が狙われる場合は今回の対策が無力ですが、実際にプロの攻撃対象になる場合、パスワード自体の有用性は薄いです。
今回の議論の対策は一般人向けのものです。例えば、パスワードをポストイットで貼り付けることや、PCやスマホにパスワードをメモしておくことが挙げられます。
このような対策に対して、「パスワードが漏れる可能性がある」という批判がありますが、安心してください。敵は身近に潜んでいますか?ハッカーは無差別にパスワードを狙います。
この「無差別」が重要です。
ハッキングしてテキスト文字(パスワード保管文章)を読み取る手間をかけるかどうかは、無差別攻撃に対する対応が「アナログ的な2次情報」になるかどうかにかかっています。機器が盗まれた場合のリスクもありますが、PCであればログイン、スマホであれば生体認証(ログイン)があります。
ログインが突破された場合は危険ですが、「パスワードメモ」よりも自動ログインが有効になっている場合はさらに危険です。
逆説的な考え方として
したがって、最も重要なのは「紛失しないこと」です。次に重要なのは「ピンポイント狙いよりも不特定多数攻撃に備えること」です。そのためには、「パスワードメモ」が有効な手段と考えられます。
安全は絶対ではありませんが、危険を過度に強調することも進化を阻害します。冷静に対策を考えましょう。