IT用語/パスワードは8文字以上

8文字入れると良い事あるの?4文字じゃダメなの?(2016-12-07、追記:2018-03-29)


先日、パスワードクラッカーを使って、自分の虎の子のパスワードを突破される夢を見ました。
なんだ、この啓示?は・・・*1

以下、わりと真面目な話なので、雑記では無くIT用語としてメモします。


概要

例えばどこかのWebサイトで、
パスワードとして4桁の暗証番号を入れます。
この番号は「0000」~「9999」、つまり、
当てずっぽうで入力しても10000分の1の確率で当たる。ということです。

また、インターネットは世界に繋がっているので、
世界中に一瞬でアクセスできる代わりに、
世界中から攻撃もできる、(参考:世界の人口は70憶くらい)
つまり地球の裏からあなた目がけて弾丸が飛んでくるような物なのです。

みんなに攻撃されたら一発くらい当たるのではないか?
(誰かがあなたのパスワードを当てて、勝手にログインするのではないか)
そんなお話です。

パスワードは何故8文字以上なのか

アルファベットはAからZまで26文字あるので、
それを8文字使って何パターンのパスワードが出来上がるかというと、

  • 26の8乗(=208'827'064'576。2000億通りくらい?)

大文字(26)小文字(26)と数字0~9(10)を混ぜた場合(合計62個)

  • 62の8乗(=218'340'105'584'896。218兆通りくらい?)

それに記号(いっぱい)も混ぜると、まぁ、そこそこの数字になります。

・・・そこそこ?


以下、雰囲気だけでも伝われば嬉しいのですが、

CPU(コンピューターの頭脳に当たる部分)の性能の単位に
「クロック周波数」というのがあります。

Windowsだと、エクスプローラーから、
[コンピューター]の上で右クリック - [プロパティ] を選択
(Windows10だと、[PC] の上で右クリック - [プロパティ] を選択)
すると、「プロセッサ:~GHz」という項目があります。それがクロック周波数です。

1.0 GHz というのは
「1秒間に 1'000'000'000 回(10億)の命令を処理する」という意味です。
(パソコンに詳しい人はツッコまないで下さい [wink]
 雰囲気を伝えたいだけなので)

条件や解析ツールの仕組み次第でパスワード解析速度は変わる、と前置きの上で、
うちの 2.5 GHz の環境で試しにやってみた例ですが、

  • 問題:パスワード「testtest(8文字)」が何秒で破られたか?
  • 答え:5秒

おや?2000憶通りあった筈ですが・・・
とりあえず雰囲気だけでも伝わったでしょうか?

そういう訳で、
大文字小文字、数字、記号で8文字以上の組み合わせを使って
「そこそこ」丈夫なパスワードにしておきましょう、という意図があるのです。

文字数以外の「強度」の話

冒頭の「0000」~「9999」の話に戻って、
銀行のATMって4桁じゃないか!危ない!
と疑問に思う方もいるかもしれませんが、
そちらは 2要素認証 を使っています。

「暗証番号を知る(know)+ キャッシュカードを持つ(has)」

つまり、2重のセキュリティで守っています。
あと、連続で失敗するとロックがかかる
(成否関わらず一切ログインできなくなる)
あるいは ガードマンが飛んできます。
(・・・たぶん。怖くてやったことはありませんが*2

たしかに連続で失敗するとロックがかかる、本人に通知が飛ぶ場合もあるので、
そう簡単には突破されない可能性もありますが、
それはWebサイト側の対応状況次第なので、
利用する側としては、そこには期待しないことにしましょう。


裏話?:

連続でログイン失敗するとパスワードロックする、そんな機能をつけると、
例えば、Webサイト運営者やパソコンのサポートセンターに
「ちゃんと入力したのにロックがかかったぞ、どうしてだ!」
という苦情が増えるので、
運営者側はロック機能を付けたくない、という場合もあります。

ロックがかかる理由の多くは、結局の所、パスワードの入力間違いなんですが、
(NumLockやCapsLockがかかっていた、文字数制限を超えていた、等など)
入力したパスワードって、覗き見防止のために、*、●とかで入力内容を隠しますよね。
だから、連続で間違っていることに気が付かない場合が多いのだと思います。

それに初めてキーボード触った日の事、覚えてます?
慣れてない人が 8文字も 打つのは恐ろしい作業なので、
そりゃ、何度も入力間違いだってしますよ。


でも、パスワードロック機能が無い、監視も無い、そんな所には、
今も誰かが、貴方になりすまして、何度も突破を試みている可能性は、十二分に有ります。
その際に忘れないでいただきたいことは、
突破を試みるのは人間ではなく、優秀?なロボット(bot)達であることです。
全自動で、早くて、疲れず、飽きずに、しつこく来ます。

「パスワードを保存しますか?」

WebブラウザやOS等にある「パスワードを保存しますか?」機能、
あれ、どうなんだ?

パソコン or スマートフォンが覚えているという事は

  • その端末を紛失 or 盗まれたらアウト
  • ウィルスに感染したらアウト
    (ウィルスもパスワード入力する必要が無くなるので)
  • 少し目を離した隙に誰かが操作したらアウト

(以下割愛)
・・・ということです。

覚えさせる機能自体はアリだと思いますが
(もちろん自己責任で。かなり便利な機能だと思いますし。)
初期設定が「覚えさせる」に傾いているのは、う~ん・・・
・・・利用者側の要請・欲求には勝てないから・・・でしょうか・・・ [worried]

対策として

パスワードの作り方について、
具体例が分からない方はこちらが参考になります。
IPA チョコっと プラス パスワード

とにかく、以下はNGです。ウィルス等に瞬殺されてしまいます。

  • 初期設定のパスワードのまま
  • 辞書に載っている単語*3

あと、情報処理試験対策、として

  • 辞書に載っている単語を片っ端からぶつけていくのが、文字通り
    「ディクショナリー攻撃」*4
  • 辞書とか関係なく、総当たりで攻撃をしかけるのが
    「ブルートフォース」*5

実情は、その間で攻めてくる、のではないでしょうか。
洗練されたリストやアルゴリズムを織り交ぜつつ、総当たりしてくる、とか。


とはいえ、
あまり難しく考えないで、
頭の体操程度で臨む方が良いかもしれません。
前述のチョコっとパスワードのように、
複雑なパスワード作るのは、案外簡単です。

パスワードなので、誰にも話せないですけれど、
自分の好きなものとか座右の銘とか、記憶に焼き付いたイメージとか混ぜると、
自身でもクスッと笑えるものが出来上がりますよ。 [smile]

パスワードの定期的な変更について

2018年3月のニュースで
「総務省が方針転換、定期的な変更は不要」
という表題が多かったのでメモを残しておきます。
パスワードは定期的に変更した方が安全、というのが試験問題とかの模範解答だった気がしますが、
その方針が変わったのか、と。

(いや、そりゃあ、定期的に変更しておいた方が、安全ですよ?)

自分が見たタイミングだと、総務省のサイトの文言は
「パスワードを複数のサービスで使い回さない(定期的な変更は不要)」
と、使い回さない事の方が主題に読み取れました。
ユーザ側が定期的に変更するのを面倒がって
安易なパスワードやパターン化をしてしまうことが不味いのであって、
そもそも最初から安易でパターンなユーザは処置無しです。

  • まず、パスワード設定時に安易な文字列だった場合は
    入力を拒否する仕組みを導入せよ、とかが先です、ね。
    ...で「このパスワードだとダメなの!?」って画面に向かって悶絶するのです、...はい、私も。
  • あと、パターン化しているのがバレるのは、一回以上「突破された後」の話なので
    (突破された後に、被害が更に広がりやすいという話)
    まずは突破されたことを検知する仕組みも併せて考えないといけないですよね。
    ログイン時やログイン失敗時に、ユーザに通知するとか、
    ユーザが面倒くさがらずにそれを読む、とか。...はい、私も。

ちなみに、この件で総務省が参考にした
「NIST SP800-63B(電子的認証に関するガイドライン)」の文言って、
この辺、かな...
※全文精査したわけでは無いので、あくまでメモとして

Do not require that memorized secrets be changed arbitrarily (e.g., periodically)
unless there is a user request or evidence of authenticator compromise.

上記以外にも、
定期的に(periodically)変更を要求する必要は無いけれど、
認証者の不正アクセス(compromise of the authenticator)の証拠(evidence)があれば
「変更を強制せよ!」という文章がありました。
あと、
パスワード変更の定期不定期いぜんに、
他にやるべきこと守るべきことが山ほど書かれているのがポイントです。

あー、セキュリティって、たいへんですねー(=ふわっとした総括)


*1 日頃の行いのせい?・・・いやいやいや・・・・・・いやいやいやいや!
*2 会社の出入り口で、連続失敗してガードマン呼んだ人はいます。その節は本当にお世話になりました・・・
*3 おいおい、それは無理だろ!と思った方は、やはり、IPAの「チョコっとパスワード」を読んで下さい。
*4 なんか、辞書の角で小突いてくる攻撃に聞こえますが、違います。物理ではありません。
*5 「Brute Force」=「強引な」。単に英語にしただけの単語を専門用語として覚える、この虚しさは一体。

  最終更新のRSS