ネットバンクのセキュリティ対策は「使い捨て暗証番号」など度々紹介しているが、みずほ銀行はインターネットバンキングのログインパスワードを32桁まで拡大すると発表した（毎日新聞　1/17）。

同行のログインパスワードは英数混在なので、1桁増えるごとに35通りほどパスワードの組み合わせが増える計算になる。それが32桁にもなると膨大な組み合わせとなり、安全性は相当高いといえる。

とはいえ、キーロガーなどでパスワードそのものを盗まれてしまえば元も子もない。つまり、スパイウェアに強いとは言えないし、事実みずほ銀行もそのような発表の仕方はしていない。

また、32桁ものパスワードをいったいどうやって覚えるのか？という問題もある。これについては、ユーザーがパスワードを任意に設定できるため、「類推されにくく覚えやすい」パスワードも設定できるとしているようだが、あまり意味のない対策のような気もする。

ところで、一口にパスワードの安全性といっても、４つぐらいの視点があると思われる。

一）パスワードの桁数を増やす、使用する文字の種類を増やす
これは、パスワード文字列の組み合わせを増やすことで、パスワード自体のセキュリティ強度を高めようというアプローチだ。

二）パスワードを送信する通信の暗号の強度を高める
これも根本的には一）と同じ考え方である。ただ、パスワードそのものというよりも、「通信」をセキュアに、という考え方で、通信を傍受されることに対する対策と言える。

三）パスワードを定期的に変更する
これは万が一パスワードを盗まれた場合、被害を最小限にとどめる、あるいは仮に悪意ある人間が暗号化されたパスワードを傍受したとしても、それを解読している間にパスワードを変更してしまって意味を成さなくする、という効果を狙ったものだ。

四）パスワードを入力させない
多少語弊のある言い方だが、最近話題となっている「ソフトキーボード」や「ワンタイムセキュリティボード」などがこれに当てはまる。キーボードを使ってパスワードを入力しない、あるいはパスワードそのものは入力させずに他の文字に置き換えて入力させる方法で、キーロガー対策のための安全性である。バイオメトリクスもこの延長といえる。

こうして見ていくと、パスワード一つ取ってみても複数の脅威が存在し、それらすべてに対して対策を講じなければ本当に安全なシステムとは言えない、ということだ。