エンタープライズ:特集 2003/10/03 20:23:00 更新


パスワード設定のホントとウソ(前編) (2/2)

1. 強いパスワードを使わなければならないのか?

 たとえどんなに強いパスワードを使っても意味がない場合がある。たとえば、メールをサーバから取得するための代表的なプロトコルであるPOPの場合、パスワードが平文のままネットワーク上を流れる。もし、悪意を持ってネットワークの盗聴を行っている人がいれば、その人にはメールのパスワードが筒抜けになってしまうのだ。

 このように、パスワード自体が平文で見えてしまうシステムの場合、わざわざ推測などしなくともパスワードが他人にばれてしまう。パスワードの強さとは、いかに推測に時間がかかるかであるため、上記に挙げたPOPやTelnet、FTPなど、パスワードが平文で見えてしまうシステムならば、どんなパスワードを使っても弱いパスワードにしかならないのだ。

 このようなシステムでは、パスワードは必ず誰か第三者に知られてしまうことを前提として、他のシステムで使うパスワードとは違うものを用いるべきだ。

2. パスワードを長くすれば強くなるのか? 必ず8文字以上にする必要があるのか?

 パスワードの推測の難しさという点から考えると、パスワードは長いほど推測が難しくなるというのは事実だ。つまり、長いパスワードほど強いパスワードになる。しかし、そのパスワードがシステム内でどのように使われているかによって、実際の強さが変わってくる。

 UNIX系のいくつかのシステムでは、実際の認証では、入力されたパスワードのうち8文字分までしか使っていない。つまり、8文字を超える部分はパスワードの強さに影響を与えないのだ。このようなシステムで使うパスワードでは、8文字までの部分で十分な強さを確保する必要がある(図1)。

図1

UNIX系のパスワードでは最初の8文字までが重要。この部分までで十分な強度を持たせる必要がある

 1つ注意が必要なことがある。中には、パスワードを使う側からは、このような文字数の制限が存在するのかどうか分からないケースがあることだ。システムの中には、注意書きとして8文字までの制限について明記しているものや、逆に8文字までしか入力できないように制限しているところもあるが、中には注意書きもなく入力制限もないのに、システム内部では8文字までしか使っていないところもある。こうなるとユーザーは「パスワードを長くしているから大丈夫」と油断することになりかねない。自分が利用しているシステムはどちらに分類されるのか、注意が必要だ。

3. 大文字と小文字を混ぜるべきか?

 UNIX系のパスワード認証システムでは大文字と小文字を区別するため、これらを混ぜることに意味がある。しかしWindows 9x/Meでは、パスワード中の英小文字はすべて大文字に変更されてしまう。したがって、Windows 9x/Meの場合、大文字小文字を混ぜても強いパスワードにはならない。

 またWindows NT/2000/XPでも、14文字以下のパスワードを設定した場合には、Windows 9x/Meと同じ方式の認証方式もサポートするため、すべて大文字の場合と同じ程度の強さにしかならない。つまりWindowsのパスワードでは、大文字と小文字を取り混ぜてパスワードを作り、それを必死になって憶えたとしても、実は何の効果もないのだ。

4. 記号が入れば強くなるのか?

 パスワードに記号を加えることは必須だ。記号を組み入れることで、パスワード推測の難しさはUNIXのパスワードでは約30倍、Windowsのパスワードでは約100倍も違ってくる。1つでもいいから、パスワードの中には記号を入れるべきだ。

 また、Windowsで古くから採用されているLMハッシュと呼ばれる認証方法では、記号の入れ方に工夫が必要になる。LMハッシュではパスワードを7文字ずつに区切り、各部分ごとに暗号化を行う(図2)。したがって、7文字ごとに区切られた各部分に記号が入っていないと、全体として弱いパスワードになってしまう。

図2

Windows系のパスワードでは、7文字ごとに強化することがポイント

 このことを踏まえ、Windowsでは7文字ごとに記号を入れよう。LMハッシュはWindows 9x/Meでパスワードを使う場合、あるいはWindows NT/2000/XPで14文字以下のパスワードを使う場合に使われる。

5. 本当にパスワードをメモしてはいけないのか?

 パスワードを記録せずに記憶しておけるのならば、それが最善の方法だ。しかし、人間の記憶力には限界がある。憶えにくくしかもたまにしか使わないパスワードを憶えておくのは困難だ。また、メモを取ることを禁止することで、記憶しておけるようにとユーザーが簡単で弱いパスワードを使うようになっても逆効果である。

 あいまいな記憶を頼りにしていると、思わぬ罠にかかることもある。あるサイトにアクセスしたときにパスワードを要求されたらどうするだろうか? 以前にもそこにアクセスした記憶があるのなら、そのときのパスワードを入力するだろう。しかし、そのパスワードが拒否されたら? おそらく、記憶をたどって憶えている限りのパスワードを入力し始めるのではないだろうか。すると最終的に、あなたが使っているパスワードはすべて、そのサイトに収集されることになるかもしれない。

 したがって、どうしても憶えられない場合はパスワードをメモしておくのも1つの方法だ。ただし、そのメモはパスワードを使う場所とは物理的に離れたところに保存しておくべきだ。また、そのメモからすぐにはパスワードがわからないように、メモの取り方にも工夫を凝らしたほうがいいだろう。

 今回はひとまずここで筆をおくが、次回は、残る4つの「迷信」について検証するとともに、パスワード設定・運用に役立つ実践的な手法について紹介したい。

後編へ>>

関連記事
▼パスワード設定のホントとウソ(後編)
▼Windowsのパスワードはやはり脆弱
▼「パスワードこそセキュリティの根本」とセキュリティフライデー

関連リンク
▼セキュリティフライデー
▼パスワード運用支援ソフトウェア「認術修業」

前のページ | 1 2 |      

[三島 崇(セキュリティフライデー),ITmedia]



Special

- PR -

Special

- PR -