#1601: Apple の Peek Performance イベント、もっと他のプロフェッショナルにも Mac を、パスワードは決して変更しないで

ようやく、通常通りのニュースが戻ってきた！ Apple は公式に、噂されていたイベントを 2022 年 3 月 8 日の 10 AM PST に開催すると発表した。もはや習慣になった通りに、読者の皆さんも Apple のウェブサイトから、あるいは Apple TV アプリを通じて、イベントのストリーミング配信を受けることができる。イベントをカレンダーに追加することもできる。

Bloomberg の Mark Gurman は既にこのイベントを正しく予想していて、次のような発表が期待できると述べている：

• 5G 対応の第３世代 iPhone SE
• アップデートされた iPad Air
• 少なくとも 1 つの新しい Mac

Apple は現在 3 月 8 日に予定されているイベントで 5G iPhone SE と新型の iPad Air を発表する予定だ。また、Apple は 3 月前半のうちに iOS 15.4 をリリースすることを予定している。 https://t.co/GB3dJOSUw8

— Mark Gurman (@markgurman) 2022 年 2 月 4 日

新たな Apple silicon Mac も 2022 年を通じて引き続き登場するだろう。Gurman は「M2 チップを搭載した入門レベルの MacBook Pro と、プロフェッショナル向けにアップグレードされた Mac mini、それにハイエンドの iMac が今年中に登場」すると予想する。

Apple の Marketing 担当 Senior Vice President である Greg Joswiak がこのイベントを "peek performance" (パフォーマンスを覗き見する) という呼び方で紹介した。この呼び方は M シリーズチップの将来を垣間見させる初代の M2 ベース Mac を示唆しているのではないかと思わせるが、iPhone SE の 5G 速度や、iPad Air の A15 Bionic チップにも関係するのかもしれない。

Peek performance イベントは 3 月 8 日開催。そこで会いましょう。 #AppleEvent pic.twitter.com/cEKMq7BuBh

— Greg Joswiak (@gregjoz) 2022 年 3 月 2 日

Apple が何を発表するかを私たちと一緒に目撃したい方は、私たちの SlackBITS グループの #events チャンネルにどうぞ参加して頂きたい。参加するには slackbits.herokuapp.com へ行き、あなたの電子メールアドレスを入力して、行動規範に同意して頂くだけでよい。すぐに招待状が電子メールで届くはずだ。

討論に参加

Apple は“プロ”のユーザーたちのために Mac をデザインしていると大々的に宣伝する。それなのに、もう 30 年以上も Apple 世界の中で執筆者として、編集者として、出版者として、プロフェッショナルの仕事をし続けてきた者の立場から言わせてもらえば、Apple は私たちのような、あるいは私が知っている Mac プロフェッショナルたち、ジャーナリスト、医者、弁護士、会計士、コンサルタント、その他大多数の他のプロのユーザーたちの需要には応えていないように見える。最近の MacBook Pro 報道発表の文面を見ても、プロのユーザーとは次のようなことをする人たちを意味するようだ：

• 劇的なパフォーマンス改善の恩恵を受けられるプロのビデオワークフローを使いこなす
• プロのワークロードのために 64 GB のユニファイドメモリを必要としていて、それが“革新的”なものとなる
• macOS のことなんかほとんど関心がなくて、これまで Windows PC を使って“極めて複雑なジオメトリやテクスチャ”を扱おうとしてきた
• “バッテリー駆動で 8K ProRes 4444 ビデオを HDR でカラーグレーディング”したいと思う
• “作業中の映像に最適なリフレッシュレートを固定”できると嬉しい
• $6000 もする Pro Display XDR スクリーンを 2 台あるいは 3 台も同時に接続できるだけの財力がある
• Adobe Premiere Pro、Blackmagic Design DaVinci Resolve Studio、Final Cut Pro、Logic Pro、Redshift を使用した Maxon Cinema 4D、NASA TetrUSS、Vectorworks といったアプリのパフォーマンスの標準を理解している

Apple はさらに、どんな種類のプロユーザーのためにデザインしているかについて具体的に数え上げることさえしている：

MacBook Pro は、デベロッパ、フォトグラファー、映画制作者、3D アーティスト、科学者、音楽プロデューサー、そして世界最高のノートブックを求める人のためにデザインされています。

誤解しないで頂きたい。上に挙げられたアプリをどれ一つとして使ったことがない私だが、高価なハイエンドの Mac を使っているそれらの人々を妬んだりしている訳ではない。どうぞその人たちはは日がな一日 8K ビデオと取り組まれるとよい！ (私の頼みに応えて“8K ProRes 4444 ビデオを HDR でカラーグレーディング”とは何を意味するのかを説明してくれた TidBITS Talk ユーザー Vortech に深く感謝したい。)

ここで私が少しムカッとしているのは、あたかも M1 Max チップと 64 GB のユニファイドメモリを備えた MacBook Pro のパワーを必要としていない人はプロのユーザーではないかのような、そんな意味合いを感じてしまうからだ。飛び抜けたパフォーマンスと圧倒的なストレージ容量こそがプロフェッショナルにとって重要課題であり、私たちのように Pro と名の付かない Mac で十分にパフォーマンスの要求が満たされる者はワークフローも生産性も向上させたいとは思っておらずその必要もない、という印象を受けてしまうからだ。他の分野について私が代弁することはできないが、私自身は自分の分野のプロフェッショナルたちがもっと生産性を上げられるようなハードウェアや製品の拡張のあり方をたくさん考え付くことができる。それに、世の中にいる執筆者たちや弁護士たちの数が 3D アーティストたちや映画制作者たちよりずっと多いのは賭けてもよいくらいだ。

そこでこの記事では、もっとずっと多くのプロフェッショナルたちの必要により良く応えるために Apple がどのような Mac やそれを支援する周辺機器を作ることができるのかについて、私の提案をいくつか述べさせて頂こう。

iMac スクリーンのより良い人間工学と接続性

2014 年以来、私は 5K Retina ディスプレイモデルの 27 インチ iMac を使ってきた。私はそのほとんどあらゆる点を気に入っているけれども、ただ一点、人間工学だけは話が別だ。率直に言って、これだけは酷い。Apple が許容している調節可能性はスクリーンのチルト角度のみだ。スクリーンの高さを上下させられないし、ましてや仕事の役に立てようとスクリーンを縦長にしたくても、回転させることもできない。人間工学というのは、日々の生産性のためにも、長続きさせるためにも、重要だ。Mac を使って快適でなければ、毎日長時間にわたって効率的に仕事を続けることはできない。長期的に考えればなおさらそのことが言える。

USB デバイスでの作業も、すべてのポートが iMac の背面にあることで具合が悪い。私にとってそれほど大きな悪影響があるものではないけれども、USB フラッシュドライブやその他の周辺機器をいつも使う必要がある人たちからは確かに多くの不満を聞いている。

これらの問題点への回避策はいたるところに見られるが、相当程度に醜悪なものであることが多い。あまりにも醜悪過ぎて Apple にうるさく要求したいと思うほどだ。iMac を本や箱の上に乗せて快適に見られる高さに調節している人たちの例を私はたくさん見てきた。また、USB ハブを使えばポートを前面に持ってくることができるが、私はできるだけ UBS ハブを使わないようにしている。いろいろな不安定性をもたらすことがあるからだ。これらの制約の両方ともに対処しようと Satechi が $89.99 の Type-C Aluminum Monitor Stand Hub を作っているが、高さが調節できない上に USB-A ポートが付いていない。

私としては、Apple が大々的に宣伝している工業デザインの取り組みのほんの一部でも注ぎ込んで、異なる体格や異なる作業環境を持つプロフェッショナルたちの必要に応えられる iMac を作って欲しいと思う。そうなれば、iMac の前面、側面、あるいは底面に、簡単にアクセスできるポートが提供されるようになるだろう。Apple は $1000 の Pro Stand を作って Pro Display XDR (これは回転させて横長にも縦長にも使える) の高さを調節できるようにしているのだから、その他の私たちのためにもより良い人間工学を手頃な価格で提供することもできるはずだ。そんなに難しいことではないだろう。この“卓上ランプ”型 iMac G4 の広告があったじゃないか。

手頃な価格で手に入る独立型 Retina ディスプレイ

Pro Display XDR について言えば、どうやら世の中には $6000 もするモニタを競合製品と比べてそれほど値段が高いとも思わない世界が存在しているようだ。でも、その他の私たち (またこんな言い方をしてしまった) の現実世界では、コンピュータの２倍も３倍もする値段をモニタに支払うなど常軌を逸している。

私は Apple が Pro Display XDR 以前に作った最後のディスプレイ、つまり 27 インチ Thunderbolt Display を持っている。値段は $999 と安くはなかったが、少なくとも競合する他社製スクリーンと同じ価格帯にはあった。その後 2014 年に Apple が 5K Retina ディスプレイモデルの 27 インチ iMac を出すと、私たちの多くはきっと Apple が独立型の 5K ディスプレイも出してくれるだろうと思った。けれどもそれは今になっても実現せず、私の 27 インチ Thunderbolt Display は iMac の隣で本の上に乗せられて鎮座している。このディスプレイもまた、高さの調節もできなければアクセスしやすいポートも付いていない。それから数年が経って Apple は 27 インチ Thunderbolt Display を製造中止にし (2016 年 6 月 27 日の記事“Apple、Thunderbolt Display を製造中止にするも後継機は見えず”参照)、利用可能なサードパーティ製の 5K ディスプレイは今も LG UltraFine 5K Display しかない。(2018 年 11 月 16 日の記事“5K ディスプレイに何が起こったのか？”参照。)

だから Apple よ、完全に鮮明なテキストを必要とするけれどもディスプレイに $6000 も出せない Mac プロフェッショナルたちを支援したいと思うならば、機能的にも審美的にも Mac とよく統合された大型の Retina ディスプレイをリリースしてはいかがだろうか？ それは、サイズと調節可能性の両面でプロフェッショナルレベルの iMac と釣り合っていて、第二スクリーンとして使えるものであるべきだ。しかも、Mac mini の上に乗せて完璧にフィットするように作られている必要もある。もちろんそれは、Mac mini の工業デザインがこのまま続くと仮定しての話だが。

ディスプレイの話のついでに言わせてもらえば、私は Apple が (あるいは他の誰かが) Retina ディスプレイを搭載した古い iMac を別の Mac のモニタとして再利用する方法を考え出してくれればなあと思っている。これらの iMac は今でも最高水準と言えるスクリーンを搭載しており、これを独立型のディスプレイとして使えないのは非常に残念なことだ。(Astropad の Luna Display については知っていて、最近これが 5K 対応を追加したので私も実際にテストしてみようと計画しているところだ。それでもやはり、このような機能はきちんと内蔵されているべきだろう。)

［訳者注： この２つのセクションで Adam が述べたことに関して、3 月 8 日のイベントで Apple が発表した Mac Studio と Studio Display について Adam が新たな記事を書いています。来週号に掲載されますのでどうぞお楽しみに。］

Face ID 搭載のより良い FaceTime カメラ

Apple の最新モデルの Mac でさえ、そこに搭載された FaceTime カメラがあまりにも情けないままなことに私はあきれ返っている。最も安価なモデルの iPad や iPhone でさえ最新モデルの Mac のカメラを大きく凌いでいるし、既に多くのモデルの iPad や iPhone が認証のために Face ID に対応している。これは、Apple が既に何度も使い尽くしてきたテクノロジーの話だ。

ならば、いったいなぜ Mac には搭載されていないのか？ 今日のプロフェッショナルたちは、iPhone や iPad でなく自分の Mac を使って頻繁にビデオ会議をしている。PC ユーザーたちもまた良いカメラを持っていないのだが、Apple がここで賭け増ししていけない理由は何もない。ビデオ会議で Mac ユーザーの映像が極めて鮮明になり、PC ユーザーたちの映像がぼやけたままだったとしたら、セールスポイントにならないだろうか？ スクリーンの厚みが多少厚くなるかもしれないが、その程度の妥協は大多数の人たちが喜んで受け入れるだろうと私は思う。

iPad Pro シリーズに搭載されているような広角 FaceTime カメラがあれば、Center Stage 機能を使うことも可能になる。これは Apple の自動フレーミング・テクノロジーで、ビデオ通話の最中に自分が動き回ってもカメラが自動的にそれを追跡してくれる。(2021 年 9 月 23 日の記事“Center Stage 機能が人物をビデオチャットフレームの中央に”参照。) 画質と同様に、もしも会議の最中に Mac ユーザーが動き回る自由度を持てるようになれば、その点を PC ユーザーと比較することで Apple にとっては大きな利点となるように思える。

それにまた、いったいなぜ Apple は Mac に Face ID を追加しようとしないのだろうか？ iPhone や iPad のユーザーが享受している Face ID のあらゆる利点は Mac ユーザーにも等しく当てはまるはずだ。いや、むしろ Mac ユーザーにとっての利点の方が大きいくらいだ。なぜなら多くの場合、 Mac のパスワードは 6 桁のパスコードよりタイプするのが難しいからだ。いったいなぜ仕事中のプロフェッショナルたちは Mac をスリープから目覚めさせたりスクリーンセーバを解除したりする度にひっきりなしに認証しなければならないのか？ Touch ID と Apple Watch 統合は素敵な機能だが、仕事を中断させるという点ではその両者とも Face ID よりも邪魔になるし、私自身は今でも日に何回も Mac のログインパスワードを手でタイプしている。Microsoft は Windows Hello を顔認識に使っている。私としてはこの点でも macOS には Windows に追いついてもらいたい。

Face ID が使えるようになって、より多くのサイトが WebAuthn 仕様に対応してパスワードを使わない認証をするようになれば、多くのプロフェッショナルたちがさらにもっと多くの時間を節約できるようになるだろう。二要素認証のために必要な追加の作業を別にしても、ウェブサイトへログインする際にはいつも管理上の妨げが伴う。もしも Mac が Face ID を使って余計なやり取りを必要とせずにその種のログインを認証できるようになったならば、私たちはより多くの時間を仕事に注ぐことができ、「母さん、これしていい？」の類いの雑事に煩わされなくなるだろう。そして、このようにしてログインの手順が簡単になれば、それだけセキュリティが高まる。セキュリティを増すために作業の必要が増すという現状を反転させることができる。

MacBook のセルラー接続オプション

iPad は、セルラー接続モデルを選ぶことができる。いったいなぜ MacBook ではそれができないのか？ Apple のラップトップ機にセルラー接続のオプションがないのは何年も前から重大な欠落であり、これもまた移動しながら仕事をするプロフェッショナルたちのニーズを Apple が認めていないことの実例だ。

もちろん、MacBook を iPhone のパーソナルホットスポットに接続することは可能だし、私も数限りない機会にそれを使ってきた。でもそれはあくまでも回避策に過ぎず、必ずしもいつもスムーズに使えるとも限らないし、ストレスを生みやすい状況にさらにもう一つ気まぐれな要素を追加するものとなる。私が外出中にインターネットアクセスを 必要とする のは、YouTube ビデオを鑑賞したりふらふらとウェブをうろつき回ったりするためではない。そうではなくて、締め切り間際に TidBITS の号を編集しなければならなかったり、あるいは私たちのサーバが攻撃を受けたりというのが理由だ。

iPad は完璧に素敵なデバイスだが、フル機能の Mac に比べれば今もまだ機能の面でも柔軟性でも劣っている。そんな iPad にはセルラー接続が可能なのに MacBook には可能でないというのはどう考えても理由が分からない。確かに、それをすれば MacBook の価格が上昇するだろうし、毎月のデータ料金もかかるだろう。文句は何なりと言える。でも私たちはプロフェッショナルだ。プロフェッショナルならば、自分の仕事をより速く、より良く、より効率的にできるものには喜んでお金を出す。それは、機能満載の Mac Pro に大金を出す人たちと同じことだ。

もっと快適で一貫性のあるキーボード/トラックパッドの人間工学

特定の種類のプロフェッショナルたちに Mac が不満を感じさせるもう一つの点は、常時使用することに伴う快適さだ。少なくとも、一日中キーボードで仕事をする私たちはもはやあの悪評高かったバタフライキーボードへの不満を述べる必要はなくなった。でも、それでもまだまだ改善の余地が残されている。

あらゆる Apple ラップトップ機の、金属製のエッジの鋭さを考えてみてもらいたい。側面や底面についてはそれほど問題ではないけれども、前面のエッジは、トラックパッドを使う際に、あるいはタイプしている途中の小休止の際に、手のひらが自然に当たる部分だ。するとあの金属製のエッジが手に食い込む。長時間続けて仕事をする時など、私はこの鋭い縁にいつもイライラさせられる。

初代のクラムシェル型 iBook や、それに続いたホワイトの iBook など、古い Apple ラップトップ機にはこの問題がなかった。ブルーベリー色 iBook を私は今でも時折 CD からデータを取り出す目的で使うことがあるが、これは角を丸めた、下向きに傾斜したパームレストを備えている。悲しいことに私は大好きだったホワイトの iBook を手放してしまったが、あれは表面が少しソフトな素材でできていて私の大好きなラップトップのフォームファクターだった。ただ、これもフロント部分に傾斜の付いたエッジを持っていたと記憶している。

私が常々 Apple のラップトップ機で気に入っていたのはキーボードの手前にトラックパッドを置き、その両側にパームレストを設けている点だ。人間工学の観点からは、トラックパッドやマウスを使うためにユーザーの手を横方向に大きく動かすもの (ほとんどあらゆるデスクトップ機のセットアップがこれに該当する) に比べてこちらの方が害が少ない。それに、タイプしたりマウスを使ったりする際に手を動かす量が少なければそれだけ作業の効率が上がる。

私は何年も前から独立の Apple キーボードとトラックパッドを作業机の上でどのように iMac と組み合わせれば同じ中央中心の配置にできるかと試行錯誤を繰り返してきたが、Apple がそれぞれにつけている角度のせいでどうやっても不可能だと分かった。私が長年使っている解決策は Das Keyboard Model S Professional の手前に Contour Designs RollerMouse Pro を置くというものだが、本当に変なやり方だということは自覚している。キーボードとトラックパッドを組み合わせた製品が Amazon に出ている (例えば Adesso、Fintie、IVSOTEK など) のは知っているが、それらの製品がタブレット用 (あるいはラックマウント用) だと書かれていることと価格が安いことを見れば、本格的に長時間使用するために信頼できる解決法とも思えない。

キーボードとトラックパッドを組み合わせる考え方から、そこに Mac の内部をすべて組み込んだデバイスを作るという考え方へ進むのはそれほど大幅な飛躍ではないだろう。つまり、基本的に MacBook の下半分 (スクリーン以外) を独立のデバイスにしてはどうかという考え方だ。それは必ずしも気まぐれな空想でもない。Patently Apple が、最近認められた Apple の特許でキーボードの中に Mac を収納するというものを紹介して「このキーボードにはトラックパッドを含めることができ、そうなれば持ち運んでいる最中にマウスが不要になる」と述べている。突き詰めれば、それはキーボードとトラックパッドを内蔵した Mac mini に相当し、机の上のディスプレイに手軽に接続したり、さらには AirPlay 経由で大画面テレビで使ったりすることもできるものだろう。

キーボードとトラックパッドだけを組み合わせて独立させたものにせよ、そこに Mac の内部も組み込んだものにせよ、そのようなデバイスがあればプロフェッショナルの Mac ユーザーたちはやり取りの方法を変更することなくラップトップとデスクトップの Mac を必要に応じて切り替えることができるだろう。摩擦が少なくなれば、それだけ生産性が上がる。

あらゆるタイプのプロフェッショナルたちに

結びに言い添えておこう。私がここで言っているのは、もしも Mac はプロフェッショナルのためのものという概念を Apple がこれからも推し進めるのならば、その言葉の定義をきちんと拡張して、仕事のために Mac を一日中使っているけれどもオーディオやビデオや写真で仕事をしている訳ではない膨大な数のプロフェッショナルたちの存在も認めるべきだということだけだ。私たちが使うツール、すなわち電子メール、ウェブブラウザ、ワードプロセッサ、スプレッドシート、データベース、オンライン会議ソフトウェアその他が、究極のパフォーマンスとメモリとストレージを必要としないとしても、私たちもまたプロフェッショナルなのだ。

読者の皆さんはいかがだろうか？ もしもあなたが Mac を使っているプロフェッショナルならば、Apple がその生産ラインにどのようなものを追加して、どのようなデザインを将来のデバイスに組み込んでくれれば、あなたをもっと生産的にする役に立つとお思いだろうか？

討論に参加

私はこの過激な発言をして皆さんの煙感知器全てを鳴り響かせようとしている： パスワードは決して変えるな。消防署に電話する前に、次の三つの大事な前提条件に考えを馳せてみて欲しい。パスワードは決して変えるな...

1. もしそれが十分に強ければ
2. もしアカウント毎に異なったものを作成していれば
3. それが保存されている所でセキュリティ侵害があったのでなければ

パスワードは年をとらない。それ等は酸っぱくもならないし、腐りもしないし、期限切れにもならない。それでも、組織によっては、我々のパスワードは時と共に攻撃を受けやすくなっていると信じさせたいと思っている所もある。そして昨日、私は自分の T-Mobile アカウントにログインしたら、私のパスワードはもう古くなっており変更されるべきだと言われた。幸いにして、このキャリアは Skip ボタンを含ませていた - 常にそうだとは限らない。

パスワードを変更する理由は実際の問題と関係しているべきである：誰かがあなたのパスワードを盗んだ、余りにも弱く今にでも誰でも破れそうだ、或いはパスワード漏洩の通知を受けた、とかである。そうでない限り、わざわざ手を付ける理由は無い。

パスワードが賞味期限を持つという考えは何処から来たのであろうか、そしてそれは何故間違っているのであろうか？ その答えを知るために、これら三つの前提条件の裏にあるものを深く掘り下げてみよう。

前提条件 #1 背景：昔のパスワードは弱すぎた

計算機システムがパスワードを必要とし始めたのは、ついこの間の 1960 年の事であった。40 年間、それ等は弱くそして破られるものであった、それもそれ程の努力なしで。８文字以上のパスワードを作るのは許されないこともあった。それは、セキュリティレベルとして容認出来ると見做されていただけで無く、セキュリティの唯一必要なレベルであると思われていた。当時は多くの場合、辞書に載った単語や文字だけを使うことも出来た - 句読点、大小文字の組合せ、或いは数字が要求される事も無かった。

一旦ネットワークが相互接続された時、未だ Internet が存在する以前ですら、パスワード泥棒は問題となっていた。初期の時代には、パスワードを平文のテキストで含んだファイルを印刷することすら出来た。(最初に確認された泥棒は 1962 年のことである！) オペレーティングシステム内でパスワードがより厳重に保護されるようになっても、弱い、類推可能なパスワードはそのまま継続した。システム管理者はパスワード指導をし、それを遵守させ始めた。そこから、今では当たり前になった複雑性の要求と定常的な入れ替えが始まった。

2004 年に、National Institute of Standards and Technology (米国標準技術局) は、一つにはパスワード長が余りにも短かったために、パスワード作成ルールを複雑にする事を推奨する報告を出した。パスワードを破る能力は、それが長くなればなるほど級数的により困難になる。複雑性を増すことは (選ばれた文字の不規則性)、単純により長いパスワードを作ること程には破る難しさを増加させない。

未だに８文字パスワードを許すサイトもあるが、私の個人的な経験からすると、多くの所はもっと長いもの、10 から 12 文字程度、を欲している。現代のパスワード破りに対する最も短い安全なパスワードは、全てのタイプ可能な記号から無作為に生成されたものならば最低 12 文字、そして無作為に選ばれた言葉から構成されているならば最低 20 文字は必要である。これらの要件を満たすパスワードは、力ずくのパスワード破りに対してもあなたの生涯では破られない耐性を有している。或いは、あなたの特定のパスワードが持ちうる値打ちよりも遙かに多くの出費をそのパスワード破りに要することになるであろう - ある見積によると、数百億ドルにも達する。これらのパスワードが破りうるだけ弱くなるためには、何らかの計算形態における飛躍的進歩が必要となるであろう。(驚くべき事に、Microsoft はその Windows 10 管理者手引きの中で最小パスワード長として未だに 8 文字を推奨しており、14 文字を超えるものを要求する規則は許していない。)

弱いパスワードの時代には、エントロピーを高くして - パスワードテキストの測定可能な乱数性 - 定期的に入れ替えることで、多くの場合簡単に盗まれたパスワードファイルやデータベーステーブルを使って誰かがあなたのパスワードを破るための時間と処理力を十分に持てる確率を下げていた。(私は 1994 年に初めて Unix の脆弱性利用のためにパスワードファイルを盗まれた。)

あなたのパスワードが、上記の前提条件 #1 の要件に示された様な十分な強さを持っているのであれば、それを変更すべき理由は何もない。他方で、もし未だに 12 の無作為文字以下のパスワードをうまく使いこなしているのであれば、もっともっと強いものに変更すべきである。しかし、それをやるのは一回だけでよい。それを入れ替えるべき理由は将来も無いであろう。

では、どうしたら今使っているパスワードは弱いかどうか分かるのか？ Apple が教えてくれる：iOS/iPadOS では Settings > Passwords、Safari では Safari > Preferences > Passwords、そして macOS 12 Monterey では System Preferences > Passwords で。1Password, LastPass, 等々のパスワードマネジャーも同様の評価を提供する。

前提条件 #2 背景：パスワードは使い回されることが多い

長年の間、一つの強いパスワードを作り、それを重要なアカウント全てに対して使うというのは容認されていた。その様なパスワードはタイプするのも大変で、記憶するのも難しいものだが、定常的に使うことがその様な問題を克服する手助けとなっていた。これは、全ての卵を一つの籠に入れる究極の例である。セキュリティ専門家が、このやり方を重大な脆弱性と見るのは当然だと言える。パスワード変更要求の中には、システム管理者が、もしあなたのパスワードが破られたりよそに漏れたりしたら、彼らのシステムへのアクセスを許すことになり得る事を理解していたから求められたものもあると思われる。それは過剰警戒とは言えない - セキュリティ侵害は定常的に起こっており、そこには深いシステム権限を持つアカウントさえも含まれる。入れ替えを強制するのはパスワード破りの先を行く方法としては間違っている。そこで前提となっているのは、より古いパスワードほどよそで発見され破られる可能性が高いという想定である。

我々は今やパスワードマネジャーに簡単にアクセス出来るので - 例えば iOS, iPadOS, そして macOS に含まれる Apple 内蔵の選択肢は iCloud 経由で高度に安全な方法で同期される - 前提条件 #2 にある様に、同じパスワードを二度使うことに対する弁解の余地は全く無い。覚えておかなければならないのは、あなたの機器のパスワード、或いは 1Password や他のパスワードマネジャーを使っているのであればあなたの保管庫やストレージパスワードである。それ等のパスワードを他では絶対に使わないこと。それだけやれば、完璧である。

もし一つのパスワードを複数のサイトで使い回しているかどうか確かでないのであれば、パスワードマネジャーをチェックする。Apple の Passwords は、複数の入力のあるパスワードに対して Security Recommendations の下で Reused と表示する。1Password の 下記の Watchtower 部分には、同じものをリストする Reused Passwords 項目がある。LastPass にも同様の機能が Security Dashboard にある。

それでも、パスワードマネジャーは、パスワードには少なくとも一つの数字、使用が許されるリストから一つの終止記号、そしてイモリの片目が含まれなければならないとするウェブサイトの気まぐれさにも対応しなければならない。最後の項目はジョークかも知れない。(これらの要件は、ユーザーが最小長しかないものを入力する選択をした場合でも、パスワード破りに対して最大の抵抗力を確保することを狙ったものである。) しかし、少なくともパスワードマネジャーを使えば、その条件下で最良の強いパスワードを生成することが出来る。

複雑性に対する要件が無い場合でも、パスワードを生成するためにパスワードマネジャーを使うべきである。Apple は、Keychain Access の Password Assistant の言葉を使った "記憶出来る" パスワードを生成する機能は廃止した。1Password は、皆さんの事情に応じて、必要な堅牢性を達成するために４つか５つの言葉からなるパスフレーズを推奨している。

前提条件 #3 背景：セキュリティの世界では、人生は穴だらけである

全てのアカウントに亘って堅牢で使い回しの無いパスワードにアップデートした後は、それ等のパスワードを再び変更する必要はないが、例外は、前提条件 #3 に当て嵌まるのだが、特定のサイト或いはサービスがセキュリティ侵害に晒されたと知った時である。これを知る最善の方法は Have I Been Pwnd? で無料の通知サービスに申し込むことである。このサイトは、アカウントやパスワードについての情報を責任あるやり方で広めることに専念している。また、多くのパスワードマネジャーは Have I Been Pwnd? データベースのライセンスを受けているので、そこでチェックする事も出来る。Apple は、そのオペレーティングシステムに亘ってそのパスワードリストの中に Compromised と表示し、次の様に記す：

このパスワードはデータ漏洩で検出されたことがあるため、このアカウントは危険にさらされています。

この Apple の強い言い回しにも拘わらず、皆さんは恐らく自分のパスワードを変える必要は無いであろうが - 繰り返すが、それが強くそして独自である限りは - 後で後悔するよりは安全でいた方が良い。加えて、皆さんには選択肢が無いかもしれない：そのサイトは全てのユーザーに対する全てのパスワードをリセットすることで変更するよう強制するかも知れない。

攻撃者はパスワードを二つの基本的な方法で発見出来る：調査とこじ開けである。調査と巧みな扱いで、攻撃者はあなたについての秘密を、ソーシャルエンジニアリングする (顧客サービス担当者をだます)、あなたからパスワードを騙して引き出す (フィッシング)、或いはクレジット報告や手に入るオンラインデータを精査することであぶり出すことが出来る。

個人的なソーシャルエンジニアリングやフィッシングに対しては、Web サイトへの訪問を自分で開始したか、或いはアプリを開いてそれが意図したサイトやアプリであることが確認出来た場合以外の如何なる状況下でも自分のパスワードは決して与えないことで守ることが出来る。そして、アカウントのセキュリティ質問に対する答えを作る時、それ等を無作為の言葉で置き換えることで自らの個人的情報を守ることが出来る。私の母の旧姓の代わりに、私はパスワードマネジャーの中で無作為な言葉を生成しそれを使う。気をつけるのは、聞かれた時に思い出せるようにそれにラベルを付けて保存することである。目的は、セキュリティ質問に対する答えも全てのアカウントに亘って独自であるようにすることである。 (もしその秘密を顧客サービス担当者に声で伝えないといけない時には、それは変に聞こえるかも知れないが、それはセキュリティの代価として受け入れるべきである。)

攻撃者が用いるもう一つの方法はパスワードを破ることである。可能な値を全て試すことでパスワードと一致させようとするもので、最も短いそして最もありそうな類推から始める。それ等の類推は、あなた自身、或いはそのウェブサイトのユーザー集団についてのソーシャルエンジニアリングされたものや調査で得られた情報を取り入れられることもある。

昔は、攻撃者は多くのウェブサイトログイン頁で無制限の類推トライをする事が可能であった。その様な試みを不能にする絞り弁や時間切れの仕組みを企業が作り込むには驚くほど長い時間がかかった。今日では、最大失敗回数を超えない的を定めた知識だけが働く可能性を持ち、そして二要素認証がその方法を阻止する。攻撃者は、絞り弁のかかっていないログイン頁を見つけない限り、その様な攻撃はもう使わない。

代わりに、彼らはサーバーから盗まれた破りパスワードに焦点を絞る。それ等の場合、あなたのアカウント情報を保持する企業のセキュリティと運用の専門知識に依存することとなる。殆ど全ての場合、これらのパスワードは暗号化されており、力ずくでしか破られない。悲しいことに、全てがそうだと言う訳では無い：つい最近の November 2021 に、GoDaddy での大規模な侵害では SFTP パスワードが未だに平文のテキストそして保存されていた事を明るみに出した。

サイトはパスワードを平文テキストとして決して保存すべきでは無いが、静的な暗号化キーが全てのパスワードデータを保護する単純な暗号化も使うことは出来ない。代わりに、サイトは殆ど常に個々のパスワードを ハッシュ と呼ばれる暗号化動作の個別の結果として保存する。ハッシュは入力から連想することは出来ないので、二つのほんの少し違うにパスワードは全く違うハッシュを生成する。現代のパスワード保存に対する最良の慣行は、ハッシュする前にパスワードに無作為の文字 (ソルトと呼ばれる) を付け加えることが含まれる。こうすることで攻撃者が複数のアカウントで同じ様に使われたパスワードを一度に破ってしまうのを防ぐ。(もし二人の人がパスワードとして"adam-slurps-soup-soulfully" を選んだとすると、ハッシュした結果は同じハッシュとなる。しかし、もし "Az" と "8J" をそのパスワードにハッシュする前に付加すると、結果として生成されるハッシュは完全にそして予想出来ない程違うことになるであろう。)

そのユーザーの特別な知識無しでパスワードを推測する唯一の方法は、可能な組合せを全てを同じハッシュアルゴリズムに投入しそして保存された値に対して試験することである。これらのアルゴリズムを走らせるのは計算機的に "高価" (遅い) なので、多くの時間を (そして、それ故にお金も) 要する可能性がある。それは沢山の GPU やクラウドプロセスパワーをそれに投入しても、事情は変わらない。

突破されたパスワードにソルトしそして相応の強力な現代ハッシュアルゴリズムが使われた場合に、アカウントが侵害されたという報告は見聞きしたことがない。アカウントに良い二要素認証を付け加えれば、悪用される可能性は殆ど無くなる。

そうではあるが、自分のログイン情報を暴露したかもしれない侵害通知を受けた時は、その影響を受けたサイトのパスワードをどの道変えた方が良い：それは一つだけだし、そのサイトの内部のセキュリティ設計がどれだけ良かったのかは分からないからである。

あなたは何をすべきか？

皆さんのパスワードを永久に秘密にしておくために出来る改善策の簡単なチェックリストを挙げてみる：

• もし未だやっていないのでれば、今すぐパスワードマネジャーを使い始める。
• そのパスワードマネジャーを使って、全てのアカウントに対して強い、固有のパスワードを生成させる。
• 個人、機密、或いは金銭の情報を含む古いアカウントを見直し、そのパスワードをパスワードマネジャーを使ってアップデートする。
• 求められても、ペットの名前の様な個人的な情報は決して共有しない。代わりに、本当の情報をパスワードマネジャーに後で使うべく保存しておいた無作為のテキストに置き換える。
• 使える所では常に二要素認証を有効にする。

最後に、この記事の冒頭に戻ろう：ウェブサイトのパスワードをただ求められたからと言うだけで変えないこと。もしそれが弱ければ、他のサイトにも使い回しされていれば、或いは、侵害が起こったことがあれば、その時は変更しなければならないと思うこと。そして、もしあるサイトがパスワードを変更するよう強要してきたら、パスワードマネジャーを使って強いそして固有のものを生成すること。

討論に参加