エンタープライズ:特集 | 2003/10/03 20:23:00 更新 |
パスワード設定のホントとウソ(前編) (2/2)
1. 強いパスワードを使わなければならないのか?
たとえどんなに強いパスワードを使っても意味がない場合がある。たとえば、メールをサーバから取得するための代表的なプロトコルであるPOPの場合、パスワードが平文のままネットワーク上を流れる。もし、悪意を持ってネットワークの盗聴を行っている人がいれば、その人にはメールのパスワードが筒抜けになってしまうのだ。
このように、パスワード自体が平文で見えてしまうシステムの場合、わざわざ推測などしなくともパスワードが他人にばれてしまう。パスワードの強さとは、いかに推測に時間がかかるかであるため、上記に挙げたPOPやTelnet、FTPなど、パスワードが平文で見えてしまうシステムならば、どんなパスワードを使っても弱いパスワードにしかならないのだ。
このようなシステムでは、パスワードは必ず誰か第三者に知られてしまうことを前提として、他のシステムで使うパスワードとは違うものを用いるべきだ。
2. パスワードを長くすれば強くなるのか? 必ず8文字以上にする必要があるのか?
パスワードの推測の難しさという点から考えると、パスワードは長いほど推測が難しくなるというのは事実だ。つまり、長いパスワードほど強いパスワードになる。しかし、そのパスワードがシステム内でどのように使われているかによって、実際の強さが変わってくる。
UNIX系のいくつかのシステムでは、実際の認証では、入力されたパスワードのうち8文字分までしか使っていない。つまり、8文字を超える部分はパスワードの強さに影響を与えないのだ。このようなシステムで使うパスワードでは、8文字までの部分で十分な強さを確保する必要がある(図1)。
1つ注意が必要なことがある。中には、パスワードを使う側からは、このような文字数の制限が存在するのかどうか分からないケースがあることだ。システムの中には、注意書きとして8文字までの制限について明記しているものや、逆に8文字までしか入力できないように制限しているところもあるが、中には注意書きもなく入力制限もないのに、システム内部では8文字までしか使っていないところもある。こうなるとユーザーは「パスワードを長くしているから大丈夫」と油断することになりかねない。自分が利用しているシステムはどちらに分類されるのか、注意が必要だ。
3. 大文字と小文字を混ぜるべきか?
UNIX系のパスワード認証システムでは大文字と小文字を区別するため、これらを混ぜることに意味がある。しかしWindows 9x/Meでは、パスワード中の英小文字はすべて大文字に変更されてしまう。したがって、Windows 9x/Meの場合、大文字小文字を混ぜても強いパスワードにはならない。
またWindows NT/2000/XPでも、14文字以下のパスワードを設定した場合には、Windows 9x/Meと同じ方式の認証方式もサポートするため、すべて大文字の場合と同じ程度の強さにしかならない。つまりWindowsのパスワードでは、大文字と小文字を取り混ぜてパスワードを作り、それを必死になって憶えたとしても、実は何の効果もないのだ。
4. 記号が入れば強くなるのか?
パスワードに記号を加えることは必須だ。記号を組み入れることで、パスワード推測の難しさはUNIXのパスワードでは約30倍、Windowsのパスワードでは約100倍も違ってくる。1つでもいいから、パスワードの中には記号を入れるべきだ。
また、Windowsで古くから採用されているLMハッシュと呼ばれる認証方法では、記号の入れ方に工夫が必要になる。LMハッシュではパスワードを7文字ずつに区切り、各部分ごとに暗号化を行う(図2)。したがって、7文字ごとに区切られた各部分に記号が入っていないと、全体として弱いパスワードになってしまう。
このことを踏まえ、Windowsでは7文字ごとに記号を入れよう。LMハッシュはWindows 9x/Meでパスワードを使う場合、あるいはWindows NT/2000/XPで14文字以下のパスワードを使う場合に使われる。
5. 本当にパスワードをメモしてはいけないのか?
パスワードを記録せずに記憶しておけるのならば、それが最善の方法だ。しかし、人間の記憶力には限界がある。憶えにくくしかもたまにしか使わないパスワードを憶えておくのは困難だ。また、メモを取ることを禁止することで、記憶しておけるようにとユーザーが簡単で弱いパスワードを使うようになっても逆効果である。
あいまいな記憶を頼りにしていると、思わぬ罠にかかることもある。あるサイトにアクセスしたときにパスワードを要求されたらどうするだろうか? 以前にもそこにアクセスした記憶があるのなら、そのときのパスワードを入力するだろう。しかし、そのパスワードが拒否されたら? おそらく、記憶をたどって憶えている限りのパスワードを入力し始めるのではないだろうか。すると最終的に、あなたが使っているパスワードはすべて、そのサイトに収集されることになるかもしれない。
したがって、どうしても憶えられない場合はパスワードをメモしておくのも1つの方法だ。ただし、そのメモはパスワードを使う場所とは物理的に離れたところに保存しておくべきだ。また、そのメモからすぐにはパスワードがわからないように、メモの取り方にも工夫を凝らしたほうがいいだろう。
今回はひとまずここで筆をおくが、次回は、残る4つの「迷信」について検証するとともに、パスワード設定・運用に役立つ実践的な手法について紹介したい。
関連記事パスワード設定のホントとウソ(後編)
Windowsのパスワードはやはり脆弱
「パスワードこそセキュリティの根本」とセキュリティフライデー
関連リンク
セキュリティフライデー
パスワード運用支援ソフトウェア「認術修業」
[三島 崇(セキュリティフライデー),ITmedia]