全2616文字
PR
 本特集は日経パソコン2018年5月14日号の特集「ネット犯罪の最新手口2018 悪質な攻撃から身を守る!」を基に再構成したものです。全5回の特集記事として掲載します。

パスワードの定期的な変更は“常識”?

 「パスワード破りを防ぐには、大文字と小文字、数字、記号を全て組み合わせて可能な限り複雑なパスワードにすること」「定期的に変更すること」――。従来はこれらが常識とされてきた。米国立標準技術研究所(NIST)が2006年に発行した電子認証に関するガイドラインである「SP800-63」にも沿った考え方だ。

 ところがNISTは、2017年に公開した改訂版「SP800-63-3」で方針を180度転換。「パスワードの長さは最小8文字。異なる文字種の組み合わせは課すべきではない」「定期的な変更の強制は推奨しない。変更はパスワード流出時のみ」となった。

 例えば、異なる文字種の組み合わせや定期的な変更を強いても、多くのユーザーは「Password!1」のように単純で覚えやすいパスワードを利用し続けようとする。しかし、ありがちなパスワードはどんなに複雑でも、攻撃者にとって最も破りやすく、パスワードリスト攻撃の格好の標的になる。この攻撃は流出したパスワードのリストを使うので、誰かが使っていたようなパスワードは複雑でも安全とは言えないのだ。

 新しいガイドラインでは、覚えやすく推測されにくい「パスフレーズ」の利用を推奨する。複数の単語を組み合わせて長い文字列にする方法だ。例えば「うちのタマは甘えん坊」から「uchinotamahaamaenbou」という20文字のパスフレーズが作れる。文字数を増やして複雑さを確保しつつ、覚えやすくなる。

 ただ、Webサイトによっては、パスフレーズだと文字数の上限に抵触して利用できない場合がある。ガイドラインでは、パスワード管理ソフトの利用も推奨する。ソフトの多くは、複雑なパスワードをランダムに生成して記憶する機能がある。パスワードの入力も、ソフトがWebページのフォームに合わせて自動的に実行するので手間が小さくて済む。

米国立標準技術研究所(NIST)は、2017年6月に電子認証に関するガイドラインの改定版を発表(左)。パスワード運用の方針が新しくなった(右)
米国立標準技術研究所(NIST)は、2017年6月に電子認証に関するガイドラインの改定版を発表(左)。パスワード運用の方針が新しくなった(右)
記号や数字、大文字/小文字を組み合わせるパスワードでも規則性のあるパスワードはパスワードリスト攻撃の標的になりやすい。また、定期的な変更を義務付けても、結果的に弱いパスワードを利用しがちになるため、新しいガイドラインでは推奨されなくなった
記号や数字、大文字/小文字を組み合わせるパスワードでも規則性のあるパスワードはパスワードリスト攻撃の標的になりやすい。また、定期的な変更を義務付けても、結果的に弱いパスワードを利用しがちになるため、新しいガイドラインでは推奨されなくなった
NISTの新しいガイドラインでは、パスワード管理ソフトを使うことを推奨している(画面は「RoboForm Lite」)。こうしたソフトの多くは、パスワードをランダムに生成する機能を備えている
NISTの新しいガイドラインでは、パスワード管理ソフトを使うことを推奨している(画面は「RoboForm Lite」)。こうしたソフトの多くは、パスワードをランダムに生成する機能を備えている

2段階認証は本当に万全な対策?

 パスワードを強固にしても、自分のアカウントが不正アクセスされる可能性はゼロではない。サイトの管理側からパスワードを含むアカウント情報が流出することもあるからだ。

 セキュリティのレベルを高めるには「2段階認証」は欠かせない。2段階認証は、利用者本人の手許にあるスマートフォンなどを併用することでログインできるようにする仕組みだ。最近は米グーグルや米マイクロソフト、米アマゾン・ドット・コムなどネットサービス大手各社が軒並み2段階認証に対応している。