生体認証アラカルト、パスワードの限界:萩原栄幸が斬る! IT時事刻々(2/2 ページ)
パスワードの限界
生体認証は、今後ますます成長していくと確信している。それはパスワードを使った認証の脆さが背景にある。認証とは、基本的に「自分しか知らない」「自分しか持ちえない」という原則がある。その点で「自分しか知らない」というものに立脚した「パスワード」は限界にきている。
例えば、理想的なパスワードのルールとして、セキュリティの専門家と称する人々は、「8文字以上で、アルファベットの大文字、小文字、数字、特殊文字を有意な単語の文字列にしないように作成する」ということを勧めている。こうすれば「辞書攻撃」(パスワードの文字列に人名や地名などの単語を照らし合わせて解読する攻撃手法)にも耐えられるという。
仮に8文字ならその組み合わせは、1文字当たりに使える文字の種類がアルファベットの大文字、小文字で「26種類×2」の52種類になる。数字の10種類を足すと62種類だ。「#」や「%」などの特殊文字は計算を簡単にするために8種類を使うとすれば、合計で70種類となる。文字列は8文字だから、「70種類の8乗」となる。つまり、文字の組み合わせは約576兆通りだ。
さて、一般的のPCでは1秒当たりどの程度のパスワードクラックができるのだろうか。筆者は以前に実際に計測したことがあるが、今のPCで計測するとすれば、600万〜800万回程度となる。最高性能のPCなら1000万回のクラックが可能だと仮定する。すると、「総当たり攻撃(ブルートフォース攻撃)」なら、約576兆通りを計算するのに平均で11カ月を要する。この「強度」を持つパスワードを「3カ月に一度は変更する」というルールで運用するなら、計算上は「まず安心」と言えそうである。
しかし、筆者はこれまでありとあらゆる内部犯行の現場に関わってきた経験から、このようなパスワードのルールは「机上の空論」としか思えないのである。なぜなら、実際のサイバー犯罪の現場では簡単にパスワードが解析され、侵入されているのだ。もちろん「ルールを守っていない」という場合も容易に考えられる。現実に筆者がある上場企業でのパスワードの運用状況を調査したところ、約7%の従業員のパスワードは、クラック作業を開始してから3分と待たず解析できてしまった。
今では、入力された文字列を自動的に認識して「11111111」といった脆弱な文字列のパスワードを設定できないようにシステムでガードができる様になっているケースもあり、こうした機能を利用することで防止も可能である。さらにペナルティを科すという方法も有効である。こういう対応を行っていながらも、「どうして机上の空論なのか?」と思う人もいるだろう。その理由は、一重に「どうやればパスワードを盗むことができるのか」について、犯罪者の視点で考えていないからである。
実際の犯罪の現場ではありとあらゆることが行われている。576兆通りもの組み合わせがある「8文字パスワード」を運用していても、例えば、のぞき見(ショルダーハッキング)を少し加味することで、いとも簡単に破られてしまう。筆者の経験では、8文字全てがのぞき見されるケースはまずない。隣人のパスワードを横からのぞこうとすると、(読者が試行してもよいが)最初の3文字程度なら何とか分かる場合が多い。そして、残りの5文字をPCで「総攻撃」するとどうだろう。8文字全てを解読するよりも、どのくらい計算時間を短くできるだろうか。
答えは、何と1分24秒である。これが指数計算の恐ろしさである。カップラーメンができ上がる待ち時間の半分にも満たない。言いかえれば、これこそパスワード認証の限界なのである。
こう考えると、生体認証の必要性がますます高まることは容易に想像できる。導入も簡単になっていくだろう。それでも生体認証を過信するのは危険である。メリットと、前述したようなデメリットをよく検討し、想定外のケースでも適切に対応できることを確認してから繰り返しテストする。これほどの慎重さをもって導入するべきだろう。
また、近年では「猫認証」(例えば12枚の動物の画像の中から猫の画像のみ4枚だけをクリックする)とか、当初はふざけているとしか思えなかった「妹認証」(キャラクター画像から選択していく)、その亜流としての「ツンデレ認証」も登場している。研究者によれば、これらは真剣に研究されていて、しかも強度が強く、利用者からも簡単だと評価が高い。認証方法は実に多種多様となってきた。10年後にはどのようにな認証が残り、何が主流となるか、楽しみである。
萩原栄幸
一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。
情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント(システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名)として活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 爆売れだった「ノートPC」が早くも旧世代の現実
ITmediaはアイティメディア株式会社の登録商標です。