最近立て続けにいろんなところからパスワードの複雑化の要請があった。アルファベットと数字以外に記号をいれろとか桁数を増やせとか煩わしいといったら無い。
腹立たしいのは彼らが本気でパスワードを複雑化すれば不正アクセスを防止できると思っていることである。パスワードが複雑化すれば覚えていられなくなって、パスワードのメモを作るというのが普通の記憶力しか持たない大部分の一般人の対応である。これではかえってパスワード漏洩のリスクが拡大する。
しかし、本当に彼らが危惧するように8桁程度普通のパスワードでは漏洩の危機が高いのだうか。誕生日や特定の意味を持たせたパスワードでは解読される可能性が高いことは否定できない。
しかし、類推の難しいランダムなパスワードであれば8桁でも解読は難しい。コンピュータを利用した総当たりの解読ができないように、アクセス回数を厳密に制限すれば盗まれる可能性は低い。
また、フィッシングや偽装ページへの誘導、マルウェア等に対してはパスワードの複雑化は意味を持たない。
結局のところパスワードの複雑化は利用者の利便性を迫なうだけでなく、かえて漏洩の危機を増すだけであり、安易にパスワードの複雑化は止めるべきである。
