強く、忘れにくいパスワード


■強く、忘れにくいパスワード

はじめに、

・辞書攻撃ってどうするの?
・パスワードの総当たり攻撃なんてできるの?

という方は、本記事を読む前に、

脆弱性検査 – パスワードチェック –

を読んでいただくと、理解を助けるかと思う。

なんなら一度目を通していただきたい。

今日取り上げたいと思った記事は、ガジェット通信のパスワードに関する以下の記事。

最新セキュリティ対策!パスワード設定、安全かつ忘れにくい方法は?
http://getnews.jp/archives/1889892

パスワードはいつもセキュリティ上の問題として取り上げられる。

セキュリティの人間としては、やっぱり、

・英数大文字小文字記号を含めた最低 8 文字以上
・定期的な更新が必要

ということを推奨してきた。

が、実際にはこれを適切に実現するのは自分でも難しい。

12 文字なんてものにした日にゃぁ、

・頻繁に使わないと完全に忘れてしまう
・定期的に更新しようとしても、次のパスワードが思いつかない

てな状態になり、使い辛いことこの上ない。

『定期的な更新』に関しては、最近、その効果が疑問視され始めた。

定期的に更新すると、

・結局使いまわしになる
・弱いパスワードの場合が発生する、等

狙った安全性を確保できない場合の方が多い。それならば、

・長く安全なパスワードを一個作る
・それを使いつづける
(注:使いまわす、はダメ)

の方が安全ではないか、という話の様だ。

これに関しては、

『毎回ランダムなパスワードを設定できる』

という前提が現実的に成り立たない以上、正しいように思う。

が、英数大文字小文字に記号を含む、となると、結局覚えにくい。

さらに、辞書攻撃を防ぐため、

『同じ文字種は 3 文字以上続けるな』

という制約を課すところもある。

確かに安全側に倒されているのだが、これが結構厄介。

でも、記事にあるように、

・英小文字のみでも長ければ安全性を確保できる

ということであれば、誰でも簡単に安全なパスワードを作れる。

確かに、英数大文字小文字、の組み合わせだけで考えても、

一文字あたりのパターン数は

26 x 2(英大文字小文字)+ 10 = 62

となり、

8 文字の総当たりパターンは 62^8 => 約 2.2 x 10^14 => 47-bit 程度

だが、英小文字のみの、kyouhahontouniiitennkidesune(今日は本当にいい天気ですね)

26^28 => 約 4 x 10^39 => 132-bit 程度

となり、総当たりに対する安全性は格段の差がでる。

具体的には、

・前者:ラズパイでも数日ぶん回し続ければいつか当たる
・後者:世界一のスパコンが数千億年計算しても当たるかどうか

程の差。

もちろん、後者には、

「26 文字からランダムに選択されるわけではない」

という制約がつく(日本語なら子音、母音、子音、母音の組み合わせが殆ど、等)。

このため、実際の安全性は格段に下がってしまうはず。

だが、それでも圧倒的に安全であり、かつ覚えやすい。

そのうち、辞書攻撃ならぬ「文例集攻撃」みたいなものは出てきそうだが、

それでも現状よりは使いやすく、安全性もあげやすい。

やっぱりこういう情報を常に取得し、

システムに変な制約を課して user を困らせてしまう

という状態をなくしていくことが、セキュリティに携わるものとして必要不可欠だと思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ タグ: , パーマリンク

コメントを残す

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータがどう処理されているか知りたい方はこちらをお読みください