インディアナ大学の研究者たちが、パスワードに関する厳しい規則は…相当面倒なものを除いては…実際に効果があることを実証した。その研究を行った院生のJacob Abbott, 同大のCIO Daniel Calarco, そしてL. Jean Camp教授らは、彼らの研究成果を“Factors Influencing Password Reuse: A Case Study.”(パスワード再利用の影響要素に関する事例研究)と題するペーパーで発表した。
Abbottはこう述べている: “われわれのペーパーは、文字数15文字以上などの厳しい要件により、インディアナ大学のユーザーの圧倒的多数(99.98%)が、パスワードをほかのサイトで再利用しなくなることを示している。制限文字数が短い他の大学では40%もの高率でパスワードが再利用されている”。
パスワードの再利用に対する規則の影響力を知るために、インディアナ大学を含むアメリカの22の大学のパスワードに関する規則を調べた。そして、オンラインで公開されている二つの大きなデータセットから、メールとパスワードの組み合わせを取り出した。それらのデータセットには、メールアドレスとパスワードの組み合わせが13億件ある。それらのメールアドレスとパスワードの組み合わせを大学のドメインごとに分類し、各大学の公式のパスワード規則と比較した。
結果は明白であった: 厳しいパスワード規則によって、その大学の個人データ漏洩リスクは大幅に低減していた。
要約すると、長いパスワードを求める厳しいパスワード規則により、パスワードの詐欺的利用や本人のパスワード再利用が99%、すなわちほぼ完全に防止できている。また同研究によると、パスワードの中で自分の名前やユーザー名を使わない、という規則も、セキュリティに貢献している。結局のところ、厳しいパスワード規則がある方が、なにもないよりも、はるかにましである。当たり前のことのようだが、覚えておくべき、そして必ず思い出すべき、重要なポイントだ。