| エンタープライズ:ニュース | 2003/10/09 18:00:00 更新 |
パスワード設定のホントとウソ(後編) (2/2)
<管理者編>
ユーザーは、それぞれの組織で決められたポリシーにしたがってパスワードの運用を行う。しかし、ポリシーに従った運用を行おうにも、システムそのものがポリシーを満たさない仕組みになっていると、ポリシーを設定する意味が薄れてくる。管理者は、自分で管理しているシステムがポリシーを満たすものかどうかをチェックし、適切なシステム構築・設定を行わなければいけない。
パスワード強度を活かせるシステムにし、正しい指導を行う
パスワードの強さは、どんなパスワードを付けるかだけでなく、システムがそのパスワードをどのように扱っているかにも依存している。管理者としては、ユーザーが考えた強いパスワードが活かされるようにシステムの設定を行う必要がある。
UNIXで古くから使われているDESという暗号アルゴリズムを用いたパスワードシステムでは、パスワードを8文字までしか扱わない。8文字を超えるパスワードに対応するために、MD5などの新しい暗号化を使ったパスワードシステムに変更したほうがよい。また、DESとMD5など複数の暗号アルゴリズムをサポートしていても、最初のユーザー設定時にはDESのほうを用いるOSなどもあるため、管理者は一度、自分が管理しているシステムでパスワードがどのように扱われているか確認しておくほうがいいだろう。
認証システムの違いを知り、知らせる
- メールとWindowsとでは異なるパスワードを使う
メールのパスワードとWindowsのパスワードとで、同一のものを使っている人は多いだろう。しかし前編で述べたように、メール取得のプロトコルとして多くの場所で使われているPOPでは、簡単に他人にパスワードを知られてしまう。
このように、簡単に入手できるメールのパスワードとWindowsのパスワードを同じにしていると、暗号化で保護されているはずのWindowsのパスワードも、簡単に他人に知られてしまうことになる。メールとWindowsでは違うパスワードを付け、運用するようにしなければならない。
- Windows 2000/XPは15文字以上
Windows 2000/XPではWindows 9x/Meとは異なる暗号方式を主に使っているが、Windows 9x/Meとの互換性維持のため、Windows 9x/Meで採用されている暗号方式を使ったLMハッシュも生成する。LMハッシュは、Windows 2000/XPで使っているパスワードに比べて非常に弱く、比較的間単にパスワードが推測できてしまう。そして、LMハッシュ方式のパスワードが推測されると、そこからWindows 2000/XPのパスワードの推測も簡単に行われる。つまり、LMハッシュの弱さに引きずられてWindows 2000/XPのパスワードの強度が弱くなってしまうのである。
ところが、Windows 2000/XPで15文字以上のパスワードを設定すると、このLMハッシュが生成されなくなる。この結果、Windows 2000/XPの暗号システムの本来の強さが発揮できるようになるのだ。Windows 2000/XPでは常に、15文字以上のパスワードを設定するようにしよう。
- メールなど(UNIX系)は8文字で強化し、さらに長くする
UNIX系のパスワードシステムの中には、最初の8文字までしか扱わないものがあることは、前編で述べたとおりだ。もしユーザーが、利用しているシステムで8文字までしか扱われないことに気づかない場合、長いパスワードを設定して本人だけは強さを確保したつもりになっていても、実際には弱いパスワードとなっている危険性がある。8文字までのシステムでも一定の強さを得られるよう、まず、8文字までの長さでしかも強いパスワードを作り、それにいくつか文字を加えて長くするようにしたい。
- Windows 9x/Me/NTでは、7文字で強化する
Windows 9x/Me/NTでは、パスワードのうち14文字までが実際の認証に用いられる。そしてこのパスワードは、7文字ごとに区切られて暗号化されている。パスワードの推測を行うときは前半と後半のそれぞれを同時に推測できるため、全体としては7文字のパスワードの強さにしかならない。したがって、前半の7文字だけで十分な強さを確保する必要がある。
こういったシステムごとの特色を踏まえ、それぞれに応じたパスワードを設定するようユーザーに周知することが重要だ。また、パスワードには必ず一定数以上の文字を用いるよう、システム側で強制的に設定することもできる。
<ユーザー編>
- 忘れてしまうなら、安全な方法でメモを
毎日使っているWindowsのパスワードならば、使っているうちに自然と指が憶えてしまうものだ。しかし、ごくまれにしか使わないパスワードやパソコンに記憶させてしまったパスワードとなると、すぐに忘れてしまうことも多いだろう。そして、パスワードを曖昧に記憶していると、かえって危険な状態を招きやすい。パスワードを曖昧に憶えているぐらいならば、安全な方法でメモを取ることも一つの方法だ。ただし、すぐに見つかるような場所にメモを置いておくのは危険なので、実際にそのパスワードを使う場所とはできるだけ離れた場所に保管するようにしよう。
- パスワード入力を練習するべき
強いパスワードは憶えにくくなることが多い。憶えにくいパスワードの場合、入力をするときも一文字ずつ思い出しながらゆっくりと入力してしまいがちだ。しかし、そのようにゆっくりパスワードを入力しているとき、側に人がいると、その人にパスワードを知られてしまうことになる。側にいた人が故意にパスワード入力を覗いているとは限らないが、こうした覗き見の方法は「ショルダーハッキング」といって、パスワード入手のために頻繁に用いられる手段でもある。
これを防ぐために、人に見られるような状況ではパスワードは入力しないことが望ましい。しかし、会議でのプレゼンテーションなど、どうしても人前でパスワードを入れなければならないような状況もあるだろう。そのような場合でも盗み見られることがないように、常日頃からパスワードの入力を練習しておこう。
- 覚えられる範囲のパスワード(3〜4個)を上手に使う
Windows、メール、グループウェアなど、いまや1人のユーザーでもパスワードを使う場面は多数あるだろう。Web上で何らかのサービスに会員登録を行っていたりすれば、20〜30個のパスワードを管理することもあるかもしれない。
その中には、メールのパスワードのように平文のまま扱われる危険なものもあるし、Web上のサービスのように、ユーザーからはそのパスワードがどのように扱われているかが判断できないものもある。そう考えていくと、1つのパスワードをあらゆる場所、あらゆるサービスで用いるのは非常に危険だ。だからといって、人間の記憶にも限界がある。システムやサービスごとにすべて、別々のパスワードを設定するといっても、実際には無理があるだろう。
そこで、3〜4個程度と記憶できる範囲で複数のパスワードを作成し、それらをうまく使いまわすというやり方がお勧めできる。たとえば、「必ずばれてしまうであろうパスワード」「あまりばれてほしくはないが、万が一ばれてしまっても構わないパスワード」「絶対にばれては困るパスワード」といった具合に、目的と必要な強度ごとに3〜4段階程度に分類し、場所に応じてこれらのパスワードを使い分けるといった方法がある。
また、やや宣伝じみるが、筆者が所属するセキュリティフライデーでは、ここまで紹介したパスワード作成・管理のポイントを織り込んで「認術修業」というソフトウェアを提供している。こうしたツールを用いることで、より少ない負担で、効果的にパスワードを運用していくことができる。
以上、主なポイントに絞ってパスワードのホントとウソ、理想と現実の運用について紹介してきた。いずれにしても、「パスワード」がセキュリティ対策の基本であり、管理者も、またユーザー一人一人もそのことを認識することがまず重要だ。この記事がその手助けになれば幸いである。
関連記事
Windowsのパスワードはやはり脆弱「パスワードこそセキュリティの根本」とセキュリティフライデー関連リンク
セキュリティフライデーパスワード運用支援ソフトウェア「認術修業」[三島 崇(セキュリティフライデー),ITmedia]
