少し前から、GPass(netlab.jp)を使うようになった。非常に便利だ。これまでは全部同じ単純なパスワードにしていたが、これで少しはマシになった。ただGPassが壊れたら全部終わりになってしまうという欠点もあるが。

全部同じパスワードにすることの利点は、無論忘れないということにある。だいたい世の中にパスワードを使ったシステムは溢れており、覚えることは不可能である。ユーザにとって不可能なことをさせることを前提にしたシステムでは、本質的にまともにセキュリティを確保することはできない。ユーザにとっては、全部同じにする以外の選択肢がほとんどないではないか。今GPassに登録したパスワードを数えてみたら33個あった。登録してないパスワードもあるから、もっと増えるだろう。銀行カードの暗証番号だって4桁しかないけど、現実には5つ口座を持ってるのでやはり覚えきれない。万事がこんな調子だ。あちこちで安易に使うから全部が使えなくなる。

全部異なる推測されにくいパスワードにして覚えておく気なんて、もともとないですよ。確かに学生時代にセキュリティのリテラシーみたいな講義は受けた記憶もあるけど、今考えるとずいぶんアホなことをありがたく聞いてたんだなと思う。頻繁に変更しつつ推測されにくいパスワードを33個管理するのは人間には無理だ、ということくらい偉い先生に言われなくても分かる。

もちろん同じパスワードにすることには非常に問題がある。どうでもいい信頼性のないサイトと、高い信頼性の必要なサイトで共通のパスワードを使っていると、盗まれてしまう確率が高くなるということだ。どうでもいいサイトから流出したパスワードが信頼しているサイトでも使えてしまうというわけ。私は大して秘密にする気もない同じパスワードを長年使ってるから(笑)、すでに流出してしまっているんだろうな。ま、どうでもいいけど。

GPassみたいな、いわゆるパスワードチェイン(？)っていうのにはちょっと不安があって、いざ何か問題が起きて使えなくなったときにどれだけ救えるか、ということだ。GPassはGUIしかないので、GNOMEに何か問題が起きて起動できなくなったら終わりだ。今後長く使っていくためには、データ形式を調べてコマンドラインから救えるようなものを作っておく必要がある。blowfishということで独自の暗号方式でもないし、第一ソースも公開されているのでちょっと時間があればできるレベルではないかと思う。

あとは…FirefoxのGPass拡張みたいなのがあるといいかな。ホスト名を覚えておくフィールドがあるので、それを使えば連携できるのではないかという気もする。現在の連携は、GPassからURLを開くというもの。パスワードが先にあって、それに合うURLを開くというスタイルならそれでもいいが、実際はブラウザが生活の主戦場なわけなので、そういう使い方はしないのではないかと思う。私もブラウザでパスワードの必要なページを開いてからGPassを起動している。

Firefoxは最初からパスワードを保存できるのだけど、Web以外のものも管理したいと思うとブラウザでの一元管理というのはちょっと無理があると思う。