ビジネス+IT

ビジネス課題別で探す

ITジャンル別で探す

会員限定

2017年08月30日

崩れる「安全なパスワード」神話 否定される過去の基準、追従できない現場の課題

パスワードの定期変更は有効か。昨年8月、米連邦取引委員会(FTC)のチーフテクノロジストが定期変更の安全性を否定する発表を行った。さらに、今年の1月は米国立標準技術研究所(NIST)が安全なパスワードについて過去の基準を否定するドラフトを発表し、6月にガイドラインのRev.3を公開した。ユーザーの利便性にとっては朗報なのだが、さまざまなサービスや企業のセキュリティ運用基準が変わらなければ利便性・安全性の向上は見込めない。実効的な動きが必要なフェーズがきている。

執筆:フリーランスライター 中尾真二

photo

文字種を混在させた複雑なパスワードを定期的に変更する…こうした「安全なパスワード」はいまや幻想だ


「定期変更」より「イベンドドリブン変更」へ

 パスワードの「定期変更」については、標的型攻撃やAPTのような高度に準備された攻撃、あるいは最新のサイバー攻撃手法に対して、かかる手間やコストに相応な安全性が見込めないとして、多くの専門家の認識は「否」でまとまりつつある。システムでパスワードの使用期間を把握し、定期変更を促したりログインを停止させたりしなければならず、ユーザーには不要なパスワード管理の手間を増やす定期変更は、結果的に脆弱なパスワード、類推されやすいパスワード(以前のパスワードに番号や記号を追加していくなど)につながっている。

 パスワードの変更は、漏えいやハッキングが疑われたり発生したりしたときだけに限定すべきだろう。共用アカウントであれば、メンバーの誰かが異動、退職した場合に行うことも必要だ。つまり、定期的な変更より、「イベントドリブン変更」のほうが合理的でセキュリティ上も好ましい。これがここ1年で広がっている認識だ。

長さと文字種混合の神話も崩れる?

 パスワードの長さ、文字種の組み合わせについても新しい動きがあった。米国立標準技術研究所(NIST)が発行する「電子認証に関するガイドライン」(NIST SP 800シリーズ)の改訂作業に伴うドラフト(NIST SP 800-63B)で、記憶認証(いわゆるパスワード)に関する記述が変更されている。

 パスワードに関する変更のポイントは、パスワードの長さは長いほどよく、スペースの使用などに制限をかけず、Unicodeの使用も認めるべきとしている点。そして、数字、記号、大文字、小文字などを混在させた「複雑なパスワード」は推奨されなくなった点だ。ただし、「1234」や「aaaaa」のような単純なシーケンスや繰り返し、パスワードリストで公表されているものやブラックリストされたパスワード、辞書に載っている単語は非推奨(禁止ではない)としている。

 その根拠は、定期変更と同様にパスワード要件へのユーザーへの負担が、簡単なパスワード、類推しやすいパスワードを誘発するためかえって危険度が高まるというもの。さらに、文字種を組み合わせて人間が覚えにくいパスワードにしても、機械的な総当たり攻撃にはじつは意味がない。例えば文字数の上限を16文字として、文字種を組み合わせを強制したパスワードと、単純な文字列でも長さを20文字、100文字と伸ばしたほうがクラッキングに時間がかかる。そのためガイドラインのドラフトでは、パスワードは最低でも8文字以上とし、上限を設ける場合も少なくとも64文字までは認めるべきとしている。使える文字種は制限しないが、数字・記号などの混在を強要するような制限は不要としている。

 その他の点では、ログインフォームでのペースト機能も禁止しなくてもよい、という記述がある。

 ドラフトでは「定期変更」について直接の言及はないが、ここに上げたポイント以外の制限や複雑さは要求すべきではないとしているので、定期変更を強制する規則はドラフトガイドラインでは必要ではないと解釈できる。

【次ページ】なぜ企業は運用が面倒な「過去の基準」を引きずるのか

セキュリティ戦略 ジャンルのセミナー

一覧へ

セキュリティ戦略 ジャンルのトピックス

一覧へ

セキュリティ戦略 ジャンルのIT導入支援情報

一覧へ

PR

注目のIT導入支援情報

一覧へ

注目のイベント・セミナー情報

一覧へ

イベント・セミナー情報の登録(無料)

記事アクセスランキング

イベント・セミナー情報アクセスランキング