国際
ウォール・ストリート・ジャーナル厳選記事

パスワード管理ソフト、なぜ利用されないのか【WSJ厳選記事】


JOURNAL REPORTS

安心感や効果を説く従来のやり方ではうまくいかない



By Karen Renaud and Norah Alkaldi
2021 年 6 月 8 日 16:13 JST 更新


――共同執筆者のカレン・ルノー氏はスコットランド・ストラスクライド大学学長特別研究員、ノラ・アルカルディ氏はサウジアラビア・キング・サウード大学コンピューター・情報科学カレッジのコンピューター科学助教

***

 私たちの多くはハッカーに対して脆弱(ぜいじゃく)で、ネット上のアカウントを保護したいと思っているが、明白な解決策を拒んでもいる。パスワード管理ソフトの利用だ。

 それはなぜか。私たちの研究では、パスワード管理ソフトに関するお決まりの安心感や効果を説いても有効でないことが分かった。だが幸いにも、心理的なハードルを克服し、データの安全性を保つよう人々を説得できる戦略があることも明らかになった。

 なじみのない人に説明すると、パスワード管理ソフトとは、ユーザーのパスワードを安全に保管し、一つのマスターパスワードでそれらにアクセスできるようにするものだ。既にアカウントを持つウェブサイトではユーザーの代わりにパスワードを入力してくれたり、ユーザーに代わって強力なパスワードを生成してくれたりするものもある。

事はそう単純ではない

 筆者の教え子で博士課程のノラ・アルカルディ氏と共同で行った研究で、最も一般的な二つの説得手法は、人々にパスワード管理ソフトを採用させる上で効果がないことが分かった。一つ目は「プッシュ」戦略だ。これは、単純なパスワードを使用したり、自分のコンピューター上にパスワードを記録したり、同じパスワードをさまざまなサイトに使用したりすることの危険性を示すことで、より安全なアプローチの採用を促すやり方だ。ユーザーはこうしたプッシュ戦略には応じないことが調査で分かった。


 もう一つは、パスワード管理ソフトのプラス面に焦点を当てる「プル」戦略だ。これも同様の結果だった。

 プッシュもプルも、その二つの組み合わせも効き目がないとなれば、パスワード管理ソフトを使っている人がわずか10%しかいないのも意外ではない。まるでパスワード管理ソフトを全人口に使用させるのを阻むガラスの天井があるかのようだ。

 私たちはその原因を探り、人々が行動を変えるのを阻む2種類の「つなぎ止め要因」を発見した。パスワード管理ソフトの使用を説得しようとする際、それらはめったに対処されないが、大きな影響力を持つ。

 要因の一つは、パスワード管理ソフトに全てのパスワードを入力する労力だ。多くの人がパスワードの一部をブラウザーに保存し、残りはどこかに書き留めたり、頭の中に記憶したりしている。

 二つ目の要因は、懸念に関わるものだ。人々はパスワード管理ソフト開発会社を信頼していない。よく知りもせず、信頼もしていないパスワード管理会社に、なぜ自分のオンライン世界への鍵を渡さなければならないのかと疑念を抱いている。

 また、マスターパスワードを忘れた場合、全てのパスワードを失うことを恐れてもいる。

つなぎ止め要因の排除

 これらは全てもっともな懸念であり、容易に対処可能だ。

 まずは、アカウント認証データをパスワード管理ソフトに移行する労力を認識すべきだ。開発会社は、ブラウザーやスプレッドシートなどの保管場所からパスワードをインポートするなど、パスワード管理ソフトの設定プロセスをできる限り簡易にすることに注力すべきだ。

 次に、パスワード管理ソフト会社を信頼できない点については、それら企業がパスワードを安全に保管する事業に携わっていることを人々は思い出すべきだ。それら企業は、パスワードを安全に保管しないわけにはいかない。なぜなら、彼らのビジネス全体がパスワードの安全な保管によって得られる信頼感の上に成り立っているからだ。

 そのためには、パスワード管理ソフトのソースコードをオープンにし、誰でも調べられるようにしてもいいだろう。平均的なユーザーはコードを理解できないかもしれないが、影響力のある専門家であれば理解できる。その上で、その人たちにそれを使用することの安全性を広めてもらえばいい。

 パスワード管理ソフトの中には、指紋や顔認証でアクセスできるようにしているものもある。そうでないパスワード管理ソフトでは、ユーザーにマスターパスワードを紙に書き留め、それを自宅の引き出しや金庫に鍵をかけてしまっておくよう促すことで、マスターパスワードを忘れてしまうことへの懸念を緩和できる。オンライン上のハッカーはそれを入手することはできないし、ユーザーは必要であれば、いつでもそれを見ることができる。

 また、ユーザーはもうマスターパスワードを忘れることはないと思えば、記録したメモを安心して破壊すればいい。あるいは、万が一自分の身に何かが起こったときに備えて、そのまま保管しておいてもいい。そうすれば、家族や親族がオンライン各社ともめたり、法的な証書を提出したりせずに自分のアカウントを全て閉鎖できる。

 ユーザーに子供時代の記憶をパスワードとして利用することを促してもいい。最もいいのは、10代前半のときのものだ。人間には誰でも、人生のその段階からの守られた記憶があり、それら記憶は大人になってもずっと残り続ける。また、それらは恐らくオンライン上のデータベースにもないだろう。例えば、自分が子供のころに両親が使っていた電話番号などだ。古い住所でもいいかもしれない。10歳のときに「3279 Dipdale Road」に住んでいたとすれば、「3279 Dipdale Road aged 10」というパスワードにすればいい。その住所にまだ住んでいる場合は、例えば、つまらない本を読ませられた小学校4年生のときの担任の先生の名前を使用して、「Miss Amy’s Boring Book」(エーミー先生のつまらない本)としてもいいだろう。あるいは「Mrs. Mellville-Smith hated chewing gum」(メルビルスミス先生はチューインガムが大嫌いだった)でもいい。パスワードがおもしろければおもしろいほど、覚えていられる可能性が高い。

 パスワード管理ソフトを促進する人たちは現在、もっと最適な方法があることを強調することで使用を促す戦略を取っている。この方法を続ければ、ガラスの天井は破られないままだろう。普及を促すには、つなぎ止め要因に対処し、パスワード管理ソフトの利点やそれを使用しないことのリスクに対する認識を高めればいいだけだ。それはさほど難しいことではない。




(c) 2021 Dow Jones & Company, Inc. All Rights Reserved Worldwide.


■ウォール・ストリート・ジャーナル(WSJ)について
琉球新報デジタルサービスWSJ特設ページ-琉球新報WebNews購読会員なら追加料金なしに米最大の日刊経済紙ウォール・ストリート・ジャーナル(WSJ)オンラインが購読できます

 



関連するニュース







  • お知らせ


  • 琉球新報デジタルサービス



  • 会員制サービス






  • 他のサービス