総務省などがパスワードを定期的に変更するのを推奨する理由が非常に残念な可能性
安全なパスワード管理|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト
パスワードの定期的な変更
安全なパスワードを作成し、パスワードの保管方法も徹底したとしても、同一のパスワードを長期間使い続けたり、使い回したりするのも避けるようにした方が良いでしょう。 パスワードを定期的に変更しなければならない理由には、以下のようなものがあります。 他人に推測されにくいパスワードでも、ツールを使って長時間かければパスワードが割り出されてしまうこと |
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第2章 アクセス制限対策:ユーザー認証対策
パスワードの有効期限
一定の期間が経過したパスワードは、その変更をユーザに強制するとともに、過去に使用したパスワードの再使用は禁止すべきである。パスワードは、その使用期間が長くなるにつれて、攻撃者にパスワードを盗まれる可能性も高くなっていくからである。 |
そもそも、アカウントロックアウトなどの仕組みがあれば有限時間内の試行ではまず解読できないんじゃね?
って話なのですが、なんで解析が可能という前提になっているのか。すごく疑問でした。
ITpro Special:生体認証で変わるIT利活用 | 萩原栄幸氏に聞く パスワードはもはや限界!企業セキュリティの新たな一手は?
ところが、そうしたセキュリティ対策における最後の砦となっているパスワードが今、危機的な状況を迎えている。「私は“パスワードクライシス”と呼んでいますが、もはやパスワードは、破られることを前提に策を講じなければなりません」と説くのは、萩原栄幸氏である。 様々なシステムで標準的に使われている8桁パスワードを例にとると、そこで用いられる英数字や特殊文字の組み合わせは、約576兆通りになる。天文 |
最近のニュース記事でこんなの見つけた。
萩原栄幸の情報セキュリティ相談室:パスワードクライシス・前編 パスワードって何だ? (2/2) - ITmedia エンタープライズ
“迷探偵”ハギーのテクノロジー裏話:繰り返します! 「あなたのパスワード管理は大丈夫ですか?」 (1/2) - ITmedia エンタープライズ
筆者は幾度と無くパスワードの危険性を指摘してきた。例えば、一番採用されている8けたのパスワードの場合、その種類は「英字の大文字+小文字」の52種、「数字」の10種、特殊文字(計算を簡単にするために8種とする)を合計すると、70種その8乗、約576兆通りになる。
8けたの文字が全く分からないという前提で、「ブルートフォース(総当たり攻撃)」をすると、どのくらい時間がかかるのか。それは1秒間にどのくらい試行できるかということでもある。誤解を恐れずに言えば、実測では最近のPC環境(インテル Core i7プロセッサなど)でだいたい500万回から600万回くらいだ(ツールによって大きな差がある)。仮に、1秒間に1000万回も試行できるなら、クラックに要する時間は平均で0.9年になる |
こっちは、2年前の記事ですが、筆者の「日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問」の方が、かなり根気強く訴えているらしい。
ひょっとして、こういったセキュリティのお偉い方々が、パスワードのクラックに要する時間は平均で1年程度だから、数ヶ月で、変更するのが望ましいって訴えてるのが理由って気がしてきた…。
でもね・・・。
これって、パスワードが時代遅れなんじゃなくて、ブルートフォース(総当り)攻撃が可能な、アカウントロックアウトの機構が存在しない 20年以上前の仕組みが時代遅れなんじゃないだろうか?
後は、脆弱なパスワードを許可するようなシステムとか…?
パスワードを変えるのは
・総当り攻撃が可能なシステムを使うような場合に限って定期的に変える。
・パスワードをグループで管理していて、異動など定期的に人の出入りがあるような場合も定期的に変える。
・システムの脆弱性が判明して、パスワードが流出した恐れがある場合も変える。
これでいいんじゃないかね・ω・ ?
もしかして、最近話題になってる、署名アルゴリズム の計算とごっちゃにしてる可能性が微存…?
(もちろん、署名アルゴリズムは生のデータを元に割り算を行うものなので全く認証を施行するのとは異なる)
20年以上前のシステムであっても数回間違えるとしばらく試行できないシステムは普通に存在します。パスワードは保護されるコンテンツの価値によって認証システムの設計からパスワードの利用範囲を決めるのが妥当で、一律にパスワード単体の利用範囲を決めるものではないと思います。だから多様な分野の人の言うことがバラバラなのも当然であると、それぞれの分野の利権と思惑によって発言が変わるのだと思います。
パスワードについて前回のコメントに書いたので総務省について書きたいと思います。
なぜ総務省がパスワードの使い方を指導したがるかというと、早く言えば国民を馬鹿だと思っているからです。これはパスワードに限った話ではなく最近の政府の姿勢がそのような向きになっているようで、国民の上に立つのが政府で躾ける立場であるとしたい様です。国民を馬鹿にした発言は放射能関連ならいくらでも出てきますがここに書く内容ではないので省きます。
国民のために尽くすのが政府の本当の立場であり、国民にパスワード管理の指導をするのではなく、認証システムが必要な分野の製品・サービスについて規制をかけたり危険性を広報するのが仕事であると私は思います。