「安全なパスワード」って一体???

 以前、パスワードの定期変更は効果がないとアメリカの研究者が言及したことで流れが変わってきました。今までは「定期的に変更すべき」というルールが多くの組織で取り入れられていました。

 昨年あたりから日本でもNISCが「パスワードは定期的な変更を要求すべきではない」と「国民のための情報セキュリティサイト」に盛り込んでいます。先月、総務省でも正式にパスワード定期変更は意味がないという風に主張を変えてきました。(厚労省は医療情報システムガイドラインには言及していません。文科省もパスワード定期変更否定論には否定的です。)
 定期変更否定論の根拠は、定期的にパスワード変更を強制することで、利用者が変更したパスワードを覚えるのに苦労することになります。そのため、安直なパスワードを設定するようになり、結果的にセキュリティレベルが下がってしまうという問題が発生するという見解です。

 そのため、定期的に変更するよりも、長い文字列のパスワード(パスフレーズが正しい?)を設定すべきでは?という論調が主流になってきました。
 では、どのようなパスワード設定をすれば良いかという話になります。先日、日テレnews24で紹介されたパスワード生成方法ですが、実際のところ、もうこの方法も使えないようです。
http://www.news24.jp/articles/2018/04/05/07389730.html

 辞書攻撃を行う際も、o→0や、a→@への置き換えも想定した上で行われるということなので、実は意味をなさないと言われています。なので、ここで例として挙げられているsocial→s0c!@1も意味がないようです。

 こういう形で一般的な単語を使うのではなく、最低でもランダムに選択した単語を3つ組み合わせる(もちろん4つ以上でも問題はありません)形でパスワードを生成するのが良いとされています。その場合には、システム側も8文字という短い文字列で認証するのではなく、64文字以上は設定可能なようにすべきだということになります。(こうなると、「パスワード」ではなく、「パスフレーズ」ですね。)
 システム側で長い文字列に対応出来ないとなると、ランダムな文字列を生成せざるを得ません。Linuxではmkpasswdやpwgenやpassgen等のコマンドを使えば生成可能ですが、Windowsユーザだとどうするか?という話になります。その場合は、ブラウザから使えるサービスを利用するしか
ありません。たとえば、以下のようなサービスを利用します。オンラインパスワード生成ですね。
http://ja.mkpasswd.web-tool.net/
 どう保管するか?については次回以降に書くことにします。

  • このエントリーをはてなブックマークに追加

コメントをどうぞ