開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2014/03/31

「良いパスワード」の例や条件とは? シンプルな管理と安全な運用を両立するひと工夫

不正アクセスやアカウント情報の漏えいなど情報インシデントが頻発する状況を受けて、多くのサイトがパスワードの定期的な変更とパスワードの使いまわさないことを推奨している。企業によってはパスワードの有効期限を決めてこれを実践させているところもある。しかし、正直なところ、強度の高いパスワードを定期的に変更しながらしかも他との重複を避けるということは至難の業といえる。有効な方法はないのだろうか。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

「良いパスワード」の条件とは?

連載一覧
 一般に「良いパスワード」とは、英数記号が混在し、推測されにくい文字列で8文字以上のものとされている。4~5文字程度のアルファベット文字列や辞書に載っているような単語、または生年月日や1111のような数字は、攻撃者に簡単に推測されてしまう、あるいは単語リスト(辞書)を使って簡単にパスワードが破られてしまうからだ。

 また、古くから同じパスワードを使い続けることもよいこととはされていない。長期間同じパスワードでいると、推測や総当たり攻撃(ブルートフォース攻撃)の時間を与えることになるため、企業によってはパスワードの定期的な変更を運用基準に組み入れているところもある。

 これに加え、現在は複数のサービスで同じパスワードを使いまわす行為もセキュリティ上の問題があるとされ、パスワードはサービスごと、アカウントごとに違うものを使うことが推奨されている。当然、前記の強度の高いパスワードを定期的に変更するという条件も生きている上での推奨条件だ。

 Webサービスが広がり、クラウド利用が広がると、平均的なユーザーでも、プライべ―トや仕事も含めて10や20のアカウントを持つことは珍しいことではなくなってきている。もちろん、業務システムではシングルサインオンを導入しているところもある。メジャーなサービスやサイトのアカウントと相互認証することでログインを簡略化するしくみもある(「Facebookでログイン」などというログイン画面だ)。あるいはパスワード管理ソフトやサービスをもあり、多数のパスワードを持つわずらわしさを緩和する方法は存在する。

パスワード管理ソフトも万全ではない

 しかし、これらのしくみを使ってもパスワード管理の問題を根本的に解決することは難しい。業務関係のシステムはシングルサインオンで管理されていても、そうでないクラウドサービスを仕事に使うことは珍しいことではない。もし、このような外部サービスに業務システムのIDと同じパスワードや類似のパスワードを使っていたら? オープンなサービスのID情報をハッキングすることで、特定企業のシステムに容易に侵入できてしまうかもしれない。

 個人利用となるとさらに管理は困難かもしれない。プライベートで利用するサービスやサイトにログインが必要なものは意外と多い。サービス提供者としては、利用者の属性情報やアカウント登録は囲い込み戦略の重要な要であり、ログイン画面はなかなか外せない。結果としてユーザーは、頻繁に利用するつもりがなくてもID登録をしなければならない。その都度ID登録を行うが、それらをすべて管理できるだろうか。

 パスワード管理ソフト、パスワードマネージャーはそのような目的でかなり有効に機能するが、多くの人が使っているわけではない。使い方がよくわからない、マルチデバイスに対応していない(最近は少ないが)、サービスがなくなったりトラブルで使えなくなるリスクがある、といった理由で使用しない層も存在する。

 サイトやアプリのID相互認証の場合でも、サイト(FacebookやTwitterなど)のセキュリティ設定で、そのアプリとの連携を許可しなければならない。ソーシャルサービスのアカウントで、むやみにアプリ連携を許可するのは問題といえば問題である。さらにいえば、そのアプリがそもそも信用できるものかという問題もある(相互認証が正規のものであれば危険は低いが)。

【次ページ】パスワードのメモ、作っていいの?

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!