使ってはいけないダメなパスワードTop200(日本人版)と代替案なきダメはもっとダメ

ワースト200って馴染みない感じがします。まぁTOP20とか言っても、もっと掘り下げれば1000とかあるでしょうし…

使ってはいけないダメなパスワード日本人版Top200発表、第1位は?

世界のランキングの第1位は「123456」だったが、日本で使われているパスワード第1位は「password」だった。調査対象50カ国中、「password」が第1位だったのはインドだけで、調査対象50カ国中43カ国において「123456」が第1位だったとのことだ。

日本人が好むパスワードの特徴として、「Qwerty」とその変形版パスワードが特によく使われていることが挙げられている。さらに、キーボードを縦または横方向に叩いて入力できる文字の組み合わせも好まれているという。

また、エンターテインメントも日本人のパスワード選びに重要な役割を果たしている。その例として、「doraemon」、「himawari」(『NARUTO -ナルト-』のキャラクター)などが挙げられている。

本家の記事、国別のランキングが見られるのは面白いですね。全部は見てませんが、数字だけが多いです。これらはパスワードと言うよりは、山と川の合言葉のようなパスとしての意味も無く瞬殺でパスワードクラックされるレベルのものです。しかしpasswordって、英語のテストかと…余程スペル間違えた方がパスとしての強度強いですよってw

まだまだ文字入力のパスワードが多く使われているので、もう少し工夫したほうがいいですよ。としか言いようがありません。結局、パスワードの事故でも起こさない限り、真剣に考える人が少ないのが肌感覚です。

立場によるパスワードの温度差

パスワードの話をすると、立場によって色々と考え方がわかれます。

例えばPPAPの場合、各所使わない方向で進んではいます。が、クライアント先などから送られて来るファイルが暗号化されてる場合、どう対応出来るでしょうか? 

1.世の中のPPAP使わない方向性を示して理解してもらう。

2.できなければメールを受信拒否させてもらう。

と選択肢が2つな場合、どっちが正しいのでしょうか? 廃止を推進している立場な方々は、それでもいいでしょう。そもそも使わなくていいならば何の問題もありませんが… 別視点として質問内容を疑ってみるということもアリかと思います。

小規模の企業など取引先に対して、どっちも選べない状況というものがあります。相手が決めていることに異議を唱えられるでしょうか? これは取引出来ない状況を自ら作れるでしょうか? 

 部分的には間違ってないけど、全体の状況を考えた時、それでは円滑に進まない状況ってもの考えなければなりません。バランスが悪いと思います。

代替案がない「ダメ」は本当にダメですよ

これセキュリティに限らず、XXはダメですよ!と言う方に必ず聞くようにしてます。ならどうすればいいですか?代替案は?と聞いても、ダメなものはダメと言われることがあります。しなきゃいいとか… そもそもダメなんだ!と。一方的なダメで説得力がありません

ダメなものはダメなのは十分に理解出来ますし、そういう場合も多くあります。しかし多くの場合、何かしらの方法は残っているはずと考えます。それがなければ、単に批判や評論でしかありません。

実践的に考えた時、方法の違う提案がいくつかなければ選びようがありません。先の2択はどっちも同じ方向性の選択肢がないものなので選ばない。

選べるダメが提案出来ないのであれば、ダメと言ってはいけないと思うのですよ。前職のイベントコーディネーター時代から複数の代替案を提案するよう心掛けています。是非、実践されて下さい。

過去の「パスワード」カテゴリーの投稿はこちら

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

何をどこからどのようにすれば?との質問が多くあります

リモートワーク担当者支援パック

急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。

従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)

労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。

しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。