【定点観測とか調査とか】 パスワードとパスフレーズ(前編)

ここでクイズです。
「パスワード」と「パスフレーズ」。共によく耳にする言葉であるが、両者の違いは何だろうか？

---

答えは、

パスワード = 正当なる利用者であることを証明するために使用される、通常10文字程度までの英数字などからなる合言葉。

パスフレーズ = パスワードが単なるランダムな英数字の組み合わせなのに対して、より長い文字数の組み合わせとなるように単語や文脈を連結したもの。

となるだろうか。
例えばパスワードでは「jk2dGu0a」であれば、パスフレーズは「cat dial picture tokyo spam rump」などと表現できる。または単語の羅列では無く、文章であっても構わない。単語数が増えれば結果的に同じことだ。
パスワードとパスフレーズどちらがセキュリティ面(ここでは成りすましを防げるかを意味する)から相応しいか 、様々な議論があるようだがこちらあたりが詳しそうだ。

Microsoft TechNet:
パスフレーズ vs. パスワード

ちょっと技術的すぎて難しい、という向きにはこちらが簡潔かも。

IT Pro:
パスワードの代わりにパスフレーズを使おう

実際には各論あるものの、強度を同一にするためには、ランダムにしないと効果が無く覚えにくいパスワードよりもパスフレーズの方が覚え易くユーザーフレンドリーなはずだ、との意見はほとんどの人が受け入れられることだろう。
PGPやSSH、またはSSL証明書鍵などを使っている人ならよりパスフレーズにはまだ馴染み深いことだろう。

しかし、本当の意味でパスフレーズを使っているという人はどれだけいるだろうか。
ほとんどの場合パスワードしか使っていない、つまりせいぜい8文字程度までの文字しか設定していない、という人の方がほとんどではないだろうか(僕自身もそうだ)。
パスワードとパスフレーズの違いは実はそれほど大きなものでは無い。
はてなのキーワードではパスフレーズを

パスワードの文字数が長くなったもの。

などと解説しているが、一見的外れのようでシステム的にはまさしくその通りでしかない。
にも関わらず僕自身も含めて何故かパスフレーズの利用には及び腰、というのが大体の反応ではないだろう。

理由は幾つか考えられる。
一つにはパスフレーズについての啓蒙の足りなさ。Google
で検索してみると分かるが、ほとんどの検索結果はSSHやSSL証明書での使い方が多い。そもそもの発想としてまずパスフレーズが出てくることが無いのだろう。
但しこの問題は奥深いものがあると思われ、後述としよう。

次にパスフレーズをどのようにして決定すればいいか、についての方法を思いつかない、ということがあるだろう。
例えば先に英単語での例を挙げたが、実際実例などとされているもののほとんどは英語などをベースにしており、日本語はほとんど無視されている。
パスフレーズを自動的に選んでくれるダイスウェアというちょっとした方法やパスフレーズ生成機というページもあるが、どちらも英語を前提にしている。
尤も、使用する単語は英単語に限定しなくてもいい訳で、ローマ字でも構わない。しかし日本語環境ではパスフレーズを日本語では入力しにくいという面があるのも事実だ。
通常パスフレーズ(パスワード)入力フィールドはアスタリスク(*)などでマスクされてしまうので、IMEでは入力し辛い側面がある。一般的なブラウザでは正しい漢字を選択しようとしても変換候補もマスクされたり、そもそもパスワード・フィールドにはIME経由で入力できなかったりする。
これは致命的だ。
あらかじめコピーして貼り付けるなどの方法もあるかも知れないが、あまりに面倒臭い。
現実的にはローマ字を組み合わせてみるのがよいだろう。特にIMEがローマ字入力派の人には最も自然だろう。かな入力派の人なら、かなを入力するつもりで英字で入力してみればどうだろうか。単語以上にランダムになり逆に強固にできるだろう。

最後の三つ目の問題が最もパスフレーズの使用を妨げていると思われ、本記事の最もポイントとなる部分なのだが、少し長くなりすぎたようにも思う。

その問題については次回の記事にて。

[続く]