先日、カスペルスキーのパスワードチェックをやってみました。昔、情報セキュリティコンサルタントをしていましたから、こういうサービスを見ると気になるんですよね。
昔から情報セキュリティでは、パスワードの管理方法についてさまざまな議論が行われています。
議論は大きく分けて、「パスワードの強度」と「パスワードの管理」の2種類です。情報セキュリティ対策は主にシステム側と利用者側の2つの側面から行うのが一般的です。パスワードについても、こうした考えが大切です。
パスワードの強度
上記のパスワードチェックは、パスワードの強度に関わるものです。パスワードの強度は、基本的にブルートフォースアタック(総当り攻撃)に対する強度を示します。ブルートフォースアタックは、文字や数字の組み合わせを全て試行することでパスワードを突破するという古典的な手段ですが、専用のツールや高性能のCPUを持つパソコンがあれば今もそれなりに機能します。
ブルートフォースアタックに対しては、単純に総当りに必要な回数を増やすことが対策として有効なため、パスワードの強度を高めるためにもこの方法が取られます。具体的に言うと、
- パスワードの文字数を増やす
- パスワードに使用する文字の種類を増やす
ということになります。
他にも、「意味のある単語を入れない」など作成ルールはいくつかありますが、それらはあくまで人間への対策であり、機械(ハッキング用プログラム)は単語の意味や種類を介してパスワード解除を試行することは不可能ではありませんが面倒すぎて行うことはありません。
なお、ブルートフォースアタックの対策をシステム側で行う場合は、一定時間のパスワードの入力回数に制限を設けるのが一般的です。そうすることによって、パスワードが解除されるまでの時間が膨大に必要になり、ハッカーも諦めるからです。
しかし、仮想通貨のマイニングなどを見ていると、ボットネットを作ってブルートフォースアタックを試みれば、ハッキングはほとんど可能な気がします。だからこそ、リスクを下げるためにもパスワードにはある程度の強度が必要です。
パスワードの管理
パスワードの管理は昔から頭の痛い問題です。なぜなら、人間だからミスもあればモラルハザードもあるからです。
「パスワードを書いた紙を貼るのは禁止」と言われてもやる人がいるのは、複雑なパスワードは覚えられないからです。「定期的にパスワードは変更すること」と言われても、それは忘れるリスクを伴いますし、ログインして使用するサービスが増えると管理が大変です。パスワード管理ツールも便利なものがありますが、だからと言って万能ではありません。
最近はシングルサインオンのサービスが色々出ているので、それを利用するのが企業レベルでは最も効率的ですが、個人で使う人はほとんどいないのではないかと思います。
最近の大きな情報漏えい事件は、リスト型アカウントハッキング攻撃が多く、7payもスタバもこれでやられています。
【参考】朝日新聞デジタル「スタバアプリで不正アクセス 計18万円分を利用される」
【参考】ITmedia「7pay、9月末でサービス終了 セブン&アイHDが正式発表【記者会見のライブ映像あり】」
それだけパスワードの管理がずさん、あるいは企業による個人情報の漏えいが起こってしまっているということです。
パスワードの管理については完璧は難しく、IoTによる生体認証のレベルが高くなってスムーズで確実な処理ができるようになるまでは、従来の管理方法を徹底するしか対策がなさそうです。
強固なパスワードは「ほどほど」に作って「しっかり」管理するべし
現状、よほど誰かに個人情報を狙われるような立場の人でなければ、強固なパスワードといってもそれほど強いものは必要ありません。私は一般人ですが、設定したパスワードは解読に最長4年かかるそうで、そこまでして私の個人情報(しかも数年後には変わってるかもしれない)を欲しいと思うでしょうか。さすがに数日で解読されるようなものは問題がありますが、時間とメリットを天秤にかけて、ほどほどの強度を持つパスワードを生成しておけば十分です。
どちらかというとパスワードの管理が問題ですので、パスワード管理ツールやシングルサインオン、または適当なサービスを活用してしっかり管理しましょう。自分が見て思い出せればいいので、パスワード管理用のメモを残すなら「秘密の質問」じゃないですが自分にしかわからないように暗号化して残しておくようにしておきましょう。私は「●が大文字の48」などと暗号風にして記録しています。
ということで、何となくパスワードの話を熱心にしてしまいました。フリーランスの人などはクラウドサービスの利用も多いと思いますので、IDやパスワードの管理は十分気をつけることをおすすめします。