Scribble at 2022-07-24 22:21:12 Last modified: unmodified

情報セキュリティの人間として言うべきじゃないとは思うのだが、僕はパスワードの使い回しを条件付きで肯定している。

サービスごとに異なるパスワードなんて設定しても、覚えてなどいられない。かといって、生体認証なんていう特別な情報を他人に渡すべきでもない（プライベートなスマートフォンに登録するのは構わない）。しばしば銀行のキャッシュ・カードとかクレジット・カードに別々の暗証番号を設定するべきだと言う人がいて、金銭の扱いは重要だからと理由をつけるわけだが、しかし重要だからこそ暗証番号を忘れたり他のサービスと取り違えてロックされるわけにはいかないのだ。ロックされるくらいなら、一つの暗証番号ですべてのサービスに登録する方が、情報セキュリティとしては危険かもしれないが、金銭を扱えなくなる致命的なファイナンス上のリスクを避けられるという点では安全だ。

この場合でも、生年月日とか、あるいは単純な数字の並び（１１１１とか９８７６とか）を避けたらいいだけのことである。それに、暗証番号がバレたら使い回している他のカードも使われるというけれど、１枚のカードを奪われた人が、どうして他のカードも奪われるのか。会社に置いてあって同僚が信用できないなら会社に置くべきじゃないし、家族に使われる心配があるなら金庫に入れたり、あるいは家に置くべきではない。暗証番号の使い回しで被害が広がるのは、要するに暗証番号しか守るものがないような認証で使い回すからなのだ。カードの場合は、カードを奪われない限り被害は広がらない。オンラインのサービスにしても、ID を奪われない限りは勝手にログインされたりしないし、オンラインのサービスなら MFA を有効にしておけばパスワードを奪われても勝手にログインされたりしないし、オンラインのサービスで数字４桁のパスワードを設定できるなんて杜撰なところは、もうそんなにあるまい。