お知らせ

  • パソコン関連

パスワードの定期変更を強いる危険性

noimage

パスワードの定期変更を強いる危険性

パスワードの定期変更はセキュリティ的にネガティブな要因となるという見解が米国政府をはじめ表明され、広がりを見せています。 セキュリティポリシーなどを定める中で、パスワードの定期変更をおこなうという項目を盛り込み、それをシステムに取り組むことなどは数多くある事例です。 筆者としてもWindowsのActive Directoryでパスワードの定期変更をポリシーとして設定したことがあり、それは企業のISMSのセキュリティ施策に沿ったものでした。 現在ではこの考え方について、メリットよりもリスクの方が多いのではないかという考え方が強くなっています。 パスワードはある程度の長さを持ち、英数字記号などを混ぜたものが推奨されます。文字数が多くなると覚えるのが大変ですので、定期的な変更を強制されると、他のパスワードとの使い回しや簡単なパスワードの部分変更などにしてしまうユーザーがどうしても増えます。 特に昨今は他のシステムなどのパスワードとの使い回しが不正アクセスの最大の弱点になっています。ある程度以上の規模のあるシステムで、パスワードが大規模な流出が相次ぎました。パスワードとアカウント名が紐づいていたデータベースなどが攻撃者によって作られているのが現状です。 現在最も重要なパスワード運用は、推測されにくく、使いまわさないパスワードであると筆者は考えています。 このところはある程度の強度を持ったパスワード生成機やパスワード管理システムなどもあり、強度の高いパスワードを簡単に使えるような仕組みが増えてきています。 またメールやスマートフォンなどを利用した2段階認証などもあり、それらの仕組みを使えばより安全にパスワードとIDを守ることができます。 パスワードの定期変更をポリシーとして設定している場合は、安全な運用方法についてポリシー改定を策定するのも考慮しても良いと考えます。 まず不正ログインなどのリスクからシステムを守ることが最も重要で、それを守るために既存のポリシーを変えることもまたリスクマネジメントで大切なことではないでしょうか。

  • パソコン関連

パスワードの考え方

noimage

パスワードの考え方

このところ、webのサービスからパスワードが漏えいしたというニュースが後を絶ちません。 一度漏洩してしまったものは、取り返す方法はないとして変更するしかありません。 これからどういった方法でパスワードを守っていけばいいのでしょうか。 かつてのパスワード脆弱性 かつて、脆弱なパスワードといえば、パスワード自体がpasswordやユーザー名とパスワードがと同じ、などと破られることを前提としたようなパスワードが用いられ、それを脆弱なパスワードとして例に挙げられていました。 現在、仕事で利用するメールや、クレジットカード情報など重要なプライバシーを含む情報を管理するさいに、このような弱いパスワードを利用することは少なくなってきました。 それでも利用している人がいます。 現在、ユーザー総当たりで攻撃される場合は、まずこの辺りを狙われるでしょうから、いまでも利用しているパスワードにこのようなものが残っているのであれば、即座に変更しておくべきでしょう。 現在のパスワードの脆弱性 今問題になっているパスワードの脆弱性は、複数サービスでのパスワード使いまわしてです。 ひとつセキュリティーの脆弱性のあるサービスからパスワードが漏えいした場合、同一のアカウント名と、漏えいしたパスワードが攻撃者のコンピュータにデータとして登録され、他のサービスで同じユーザ名パスワードの組み合わせがないかを調べ、不正なログインを行う、という事態が多発しています。 ですので、一つのサービスの脆弱性でパスワードが流失した場合、そのサービスが安全性が低いとして使うのをやめたとしても、他に利用しているサービスに脆弱性がなくとも、アカウント名と同一のパスワードで突破されてしまうという可能性は高くなっています。 そのため、使用しているサービスでなんらか漏えいの事故、事件があったことが公になった場合は、そのパスワードは他の場所でも二度と利用しない、という考え方も安全性を保つためには必要になってきています。 パスワードに対する辞書攻撃 かつて8文字のパスワードでも総当たりのパスワード解除は、コンピュータの性能上、時間がかかるために十分であるとされ、現在でも最大8文字というパスワード文字数制限を持つサービスも多いです。 パスワード解除でメジャーな方法としては、辞書攻撃と呼ばれるもので、人間が覚えやすく、パスワードに使われそうな単語を並べ、単語と単語、単語と数字などという組み合わせで何度も解除を試みるものです。 覚えやすいパスワードというものは、この方法に対して非常に脆弱です。日本語であれば大丈夫、ということはなく、パスワード攻撃用辞書には、多くの日本人名や、日本語の単語をローマ字化したものが既に作られて、長く使われています。 今後、いままで漏えいしたパスワードが、ランダムな文字列であったとしても、これら辞書に追加されるという可能性も考えられるでしょう。 ですので、一度漏洩した可能性のあるパスワードは使わないことを勧められます。 パスワードの長さ、複雑さ パスワードは長ければ、長いほどよく、大文字小文字数字記号のすべてを含んでおいた方がより安全です。 現在英文字のみ8文字程の長さであれば、辞書を使わない単純な総当たりであっても、全て試行するのにそれほど長い時間はかからなくなっています。 もちろんwebサービスであれば、複数回の試行をするとロックがかかるものがほとんどですが、たとえば暗号化ZIPファイルや、パスワード付オフィスファイル、Wi-Fiアクセスポイントのセキュリティーキーなどはこの単純な総当たりの対象になりやすいです。 比較する参考として、8文字で小文字英文字のみ(区別なし)であれば、4日、数字が付けば65日、大文字小文字区別有で混在している場合は3年、英大文字小文字数字記号を含む場合は463年必要となります。 これは単体のコンピュータで50万回を一秒間に試行することができる場合で、一般的なパーソナルコンピュータでこれだけの計算をするのは、特に難しくはありません。 複数台でより高速なコンピュータを利用すれば、それだけ解除までの時間を縮めることができますが、上の例でいえば、9文字で英大文字小文字数字記号を含む場合は44530年となり、組み合わせ数が増えれば増えるだけ、単純な方法での突破は難しい、あるいは不可能なレベルにまで強化することができます。 ですので、文字数に制限がなければ、11文字、英字大小数字記号を含むパスワードを設定すれば、パスワードそのものが何らかの形で漏えいしない限り、数字の上ではほぼ不可能といえます。 まとめ またFacebookやGoogleなどを装い、誤って他のサイトにパスワードの入力を促すフィッシングサイトも、今でも多く存在します。 パスワードだけでは全てを守りきることはできないかもしれませんが、パスワードがどういった情報を保護しているのかを見極め、パスワードの強度を決めていくことも重要でしょう。 全てのパスワードをユニークな11文字の文字列にして、それを記憶するのはかなり難しいと言わざるを得ません。 くれぐれも重要なものに安易なパスワードを設定することは避けるべきです。 またパスワードの二段階認証を大手のサービスでは勧めているところもありますので、セキュリティーについて、各自工夫して守っていくことが重要です。