おはようございます。ソフィー時松です。
今回はパスワードに関するお話をしていきたいと思います。
パスワードについて
皆様はPCやスマートフォンでどのくらいパスワードを入力しているでしょうか。
Amazonや楽天に代表されるECサイト
googleやMicrosoftなどのアカウント
果ては、スマホのロック画面や自宅の宅配ボックスまで様々だと思います。
パスワードを設定する理由としては「中に入っている情報を守るため」であることは間違いないと思います。
つまり外部からの脅威に対する手段としてパスワードは存在しています。
では、外部からの危機に対して有効されるパスワードの条件とはどうゆうものか皆様ご存じでしょうか。
まず前提としてパスワード作成の基本ルールについては次のようなものがあげられます。
名前などの個人情報からは推測できないこと
英単語などをそのまま使用していないこと
アルファベットと数字が混在していること
適切な長さの文字列であること
類推しやすい並び方やその安易な組合せにしないこと
国民のための情報セキュリティサイト (総務省)
このルールは基本的なものです。
具体的にどの程度のパスワードが十分なセキュリティレベルに達しているかについては、各種のセキュリティ団体や、セキュリティベンダーなどのガイダンスで、多少の違いがあります。
内閣サイバーセキュリティセンター
10桁以上、英数字+記号の混合
JPCERT/CC
12桁以上、英数字+記号
ブルートフォースアタック(総当たり攻撃)を実施された際には、桁数の多いパスワードの方が解読に時間がかかります。
(パスワードに関する記事で見かけましたが、アルファベット+数字を組み合わせた12桁の暗号を総当たりで解くと最大で2000年もかかるそうです)
ですので、外部からの脅威に対して有効とされるパスワードは英数字・記号を組み合わせた推察されにくい10文字以上ものだと考えられています。
疑問
企業様でのパスワードへのセキュリティ対策として「パスワードを一定期間で変更する」というやり方を行っているところもあるかとは思いますが、果たしてそのやり方は正しいのでしょうか。
2017年頃から、国が発行するセキュリティガイドラインなどでは「定期的な変更をする必要はない」という表現に変わってきています。
なぜかというと「定期的に変更する」ということは、変更のたびにパスワードを覚えなければならないということです。
そうなると自然と変更後のパスワードは「覚えやすい文字列」で設定してしまう可能性が高くなることになります。
総務省のセキュリティガイドラインでは、アカウントが乗っ取られたり、サービス側でパスワードの流失があったなどの事象がなければ変更する必要はないとしています。
つまり必要な対策としては、同じパスワードを使いまわさずに、サービスごと固有のパスワードを設定することを求められています。
Microsoftの考え方
Microsoftは「パスワードを持たない」というやり方を推奨しています。
Microsoftは9月15日(米国時間)、「Microsoft アカウント」からパスワードを削除できるようにしたと発表しています。
Microsoft Authenticatorアプリ、またはWindows Helloの指紋や顔を使用することで「パスワードレスアカウント」の機能が使用可能となり、パスワード入力をせずともMicrosoftアカウントへのログインが可能となります。
Microsoft社内でも「自らが実験台となっており、従業員のほぼ 100% がパスワーレスを選択して企業アカウントにログイン」しているとのことです。
まとめ
パスワードに関しては、難しく固有のものであれば変更する必要はないという考え方もあれば、Microsoftのようにそもそも攻撃の対象となるパスワードを持たないという考えかたもあり非常に興味深かったです。
これを機に「パスワードレス」をする人が増えるかもしれません。
Microsoft Authenticatorについてはiosまたはandroidで使用できるそうなので一度自分でも試してみたいと思います。
以上、パスワードに関するお話でした。