エンタープライズ:ニュース 2003/10/09 18:00:00 更新


パスワード設定のホントとウソ(後編) (1/2)

しばしば「パスワードは長いほどいい」「付箋などにメモしてはいけない」などと言われる。だが、時代の変化やパスワードシステムの仕組み、現実の運用を踏まえると、中には妥当でないものも含まれている。前回に続き、その真偽に迫ってみよう。

<<前編へ

 情報セキュリティの基本中の基本であるパスワードだが、強いパスワードとはどんなものか、どうすればパスワードを強化できるかといった具体的な事柄になると、意外と知られていないようだ。「パスワード設定のウソとホント」後編では、前編に引き続き、一般に言われているパスワードの「迷信」の真偽を追求していこう。

6. パスワードは定期的に変更しなければならないのか?

 当たり前といえば当たり前だが、パスワードを定期的に変更していると、新しいパスワードを作成するたびに記憶しているパスワードが増える。あまりに多くのパスワードを覚えていると、だんだん記憶が混乱してきて、現時点で使っているパスワードがどれなのかが分からなくなったりする。また、定期的に強いパスワードを作り続けることには大変な労力を必要とする。こうなると残念ながら人間の性として、作成するパスワードがだんだんと簡単なものになってしまう。

 このような状況になると、定期的な変更期間の間でさえ保ち得ないような弱いパスワードばかり作るようになってしまう。これではシステムの保護という観点から見ても逆効果だ。

 したがって、人間の記憶力と運用の実態を考えれば、一般的なセキュリティポリシーには反することではあるが、強いパスワードを1つだけ作り、それを長期間使うほうが安全であるとも言える。

7. パスワードは危険だから他の認証手段に変えるべき?

 皆がパスワードの強さと弱さを理解し、正しい運用を行ってさえいれば、パスワードを使った認証手段はまったく危険ではない。パスワードによる認証が危険になってしまう原因は、パスワードを使っている人のいい加減な運用にある。

 さて、このようにパスワードをいい加減に運用している人が、他の認証手段を用いたところで、それをきちんと運用できるだろうか? たとえば認証に使うICカードを誰にでもわかるところに放置するという具合で、他の認証手段を使ったところで、やはりいい加減な運用しかしないのではないだろうか。パスワード認証に代わる他の認証手段を検討する前に、認証手段を正しく運用するための体制作りやユーザー教育が必要なのだ。

8. ロックアウトは設定すべきか?

 オンラインで次々にパスワードを変えながらログインを試みるような、オンラインでの総当り攻撃への対抗策として、ロックアウトを設定するところも多いであろう。ロックアウトされてしまうと管理者がロックアウトを外すまで、正規のユーザーですらシステムにログインできなくなってしまう。

 これは見方を変えると、ユーザーのシステム利用を妨げるためのDoS(サービス妨害)攻撃ということだ。すなわち、悪意ある攻撃者が、ログインそのものを目的とせずにログイン行為を繰り返すことで、相手のシステム利用を邪魔することもできる。

 オンラインでの総当り攻撃はタカが知れている。そのためロックアウトを設定するよりは、オンラインでの総当り攻撃程度では推測されない程度の強さのパスワードを設定しておくほうがいい。

9. 初期パスワードはパスワードジェネレータで生成すべきか?

 パスワードジェネレータは、英数字や記号をランダムに選択して自動的にパスワードを生成してくれるツールだ。これで作成したパスワードには、英数字や記号が適度に含まれるので、人が考えるような非常に弱いパスワードを生成することはほとんどない。

 しかし、こうしたツールはランダム性に基づいてパスワードを作成するので、生成されるパスワードの強さに対する保障はまったくない。つまり、非常に強いパスワードを生成する可能性もあるが、逆に大して強くないパスワードを生成する可能性も大いにある。パスワードジェネレータで作ったパスワードは、強さを確認してから使うようにしたほうがいいだろう。

パスワード運用、「本音」の留意点

 では、以上9つの迷信に対する検証を踏まえ、現実の運用状況に照らし合わせながら、最大限パスワードの強度を高め、適切に運用していくためのポイントを最後に紹介しよう。

      | 1 2 | 次のページ

[三島 崇(セキュリティフライデー),ITmedia]