エンタープライズ:特集 2003/10/03 20:23:00 更新


パスワード設定のホントとウソ(前編) (1/2)

しばしば「パスワードは長ければ長いほどいい」「付箋などにメモしてはいけない」などと言われる。だが、時代の変化やパスワードシステムの仕組み、現実の運用を踏まえると、中には妥当でないことも多い。その真偽について迫ってみよう。

 コンピュータセキュリティを構成する基本的かつ重要な要素として、本人認証がある。その本人認証を行う上で、現在最も幅広く利用されている手段がパスワードだ。しかしパスワードは、運用の仕方によってはまったく意味を持たなくなってしまうこともあり、セキュリティ上の大きな問題となっている(別記事参照)。

 パスワードが正しく運用されていない原因の1つに、誰もがパスワードの強さについて知っているわけではなく、今自分が利用しているパスワードがどれくらい弱いのか、そしてどうすれば強くなるのかについて、理解していないことが挙げられるだろう。そこでこの記事では、一般に言われているパスワードの「迷信」を真正面から斬って、パスワードの強さの本質について考察し、適切なパスワード運用を行うための指針を示していく。

そもそもパスワードの「強さ」とは何?

 そもそも、パスワードの強さとは何のことを示すのだろうか? 憶えにくいパスワードならば強いのだろうか? それとも長いパスワードが強いのだろうか? その答えは、パスワードの使命について考えてみれば見えてくる。

 誰かのパスワードを知ることができれば、そのパスワードによって守られている各個人の個人情報や企業の秘密情報などを手に入れることができる。パスワードが他人に知られてしまうと、もうパスワードは無意味なものになる。つまり、パスワードとは、他人には知られてはいけないものなのだ。

 しかし、世の中には悪意を持って他人のパスワードを知ろうと試みる人がいる。こうした悪意を持った攻撃者は、他人のパスワードを知るためにさまざまな推測方法を研究してきている。そう考えていくと、パスワードの強さとは、このようなパスワードの推測に対し、どのくらい長い間ばれない(=推測されない)パスワードであるかが指標となる。

パスワードはいかにして推測されるか

 このような悪意を持った攻撃者たちは、パスワードの推測を行う際にさまざまなパスワード推測アルゴリズムを用いる。中でも一般的には、3つの段階に分けて推測が行われることが多い。

 彼らが最初に試すのは、その人の情報から類推されるパスワードだ。つまりユーザーの名前、生年月日、社員番号、好きな物の名前など、その人に関する情報や趣味、嗜好などから類推しやすいものが試される。

 そして次に、辞書アタックと呼ばれる推測が行われる。この段階では、あらかじめ用意された単語リストに載っているパスワードが試される。この単語リストには、辞書に掲載されている単語や一般にパスワードとして使われやすいワードなどが載っている。

 ここまでの推測で見つからなかった場合、最後の手段として、ブルートフォースアタック(総当り攻撃)と呼ばれる推測手段が取られる。この段階では、パスワードとなりうる文字の組み合わせがすべて試される。

 攻撃者が最初に試す「ユーザーの情報を用いた推測」では、試されるパスワードの数も少ないため、攻撃者が自らパスワードを入力してパスワード推測を行うこともある。しかし、それ以降試みられる辞書アタックやブルートフォースアタックでは、推測に用いられるパスワードの数も非常に多い。このため、PC上で自動的にパスワードの推測を行うツールがいくつも存在する。現実に、パスワードの推測は、これら自動化されたツールを用いて行われることが多い(画面1)。これらのツールを使えば、現在のコンピュータの性能でも、1秒当たり数千から数十万ものパスワードを試すことができる。「パスワードは他人にはばれないだろう」と考えている人たちの想像を超える速さで、パスワードの推測は行われるのだ。

パスワード推測ツール

パスワード推測ツールの一例。あっという間に数千以上のパスワードを試すことができる

 この結果、ユーザー情報から類推されるパスワードや辞書に載っているような単語を使ったパスワードを用いていると、わずか数秒から数分でそのパスワードが推測されてしまう。一般に「ユーザーの名前や誕生日、辞書に載っている単語などをそのままパスワードに使ってはいけない」と言われているが、そのとおり、これらはやはり絶対に使ってはならない非常に弱いパスワードなのだ。

 また、総当り方式でパスワードの推測を行うと、理論上いつかは必ずパスワードが判明する。したがって、絶対にばれない最強のパスワードなどというものは存在しない。

パスワードの迷信を斬る

 ここまで、パスワードをめぐる脅威にはどんなものが存在するかについて説明してきた。これを踏まえると、適切なパスワードを設定することがいかに重要かがお分かりいただけるのではないだろうか。

 では、その「適切なパスワード」とは、いったいどのようなものだろうか。実のところパスワードに関しては、昔から言われ続けている迷信的なアドバイスがいくつもある。そしてこれらの中には、パスワードを使用する環境の変化などによって実情に合わなくなってしまったものや、そもそも根拠が曖昧なものも含まれている。

 そこで、現在使われているパスワードシステムに照らし合わせながら、これら迷信の真偽を暴いてみよう。

      | 1 2 | 次のページ

[三島 崇(セキュリティフライデー),ITmedia]