■強く、忘れにくいパスワード
はじめに、
・辞書攻撃ってどうするの?
・パスワードの総当たり攻撃なんてできるの?
という方は、本記事を読む前に、
を読んでいただくと、理解を助けるかと思う。
なんなら一度目を通していただきたい。
今日取り上げたいと思った記事は、ガジェット通信のパスワードに関する以下の記事。
最新セキュリティ対策!パスワード設定、安全かつ忘れにくい方法は?
http://getnews.jp/archives/1889892
パスワードはいつもセキュリティ上の問題として取り上げられる。
セキュリティの人間としては、やっぱり、
・英数大文字小文字記号を含めた最低 8 文字以上
・定期的な更新が必要
ということを推奨してきた。
が、実際にはこれを適切に実現するのは自分でも難しい。
12 文字なんてものにした日にゃぁ、
・頻繁に使わないと完全に忘れてしまう
・定期的に更新しようとしても、次のパスワードが思いつかない
てな状態になり、使い辛いことこの上ない。
『定期的な更新』に関しては、最近、その効果が疑問視され始めた。
定期的に更新すると、
・結局使いまわしになる
・弱いパスワードの場合が発生する、等
狙った安全性を確保できない場合の方が多い。それならば、
・長く安全なパスワードを一個作る
・それを使いつづける
(注:使いまわす、はダメ)
の方が安全ではないか、という話の様だ。
これに関しては、
『毎回ランダムなパスワードを設定できる』
という前提が現実的に成り立たない以上、正しいように思う。
が、英数大文字小文字に記号を含む、となると、結局覚えにくい。
さらに、辞書攻撃を防ぐため、
『同じ文字種は 3 文字以上続けるな』
という制約を課すところもある。
確かに安全側に倒されているのだが、これが結構厄介。
でも、記事にあるように、
・英小文字のみでも長ければ安全性を確保できる
ということであれば、誰でも簡単に安全なパスワードを作れる。
確かに、英数大文字小文字、の組み合わせだけで考えても、
一文字あたりのパターン数は
26 x 2(英大文字小文字)+ 10 = 62
となり、
8 文字の総当たりパターンは 62^8 => 約 2.2 x 10^14 => 47-bit 程度
だが、英小文字のみの、kyouhahontouniiitennkidesune(今日は本当にいい天気ですね)
26^28 => 約 4 x 10^39 => 132-bit 程度
となり、総当たりに対する安全性は格段の差がでる。
具体的には、
・前者:ラズパイでも数日ぶん回し続ければいつか当たる
・後者:世界一のスパコンが数千億年計算しても当たるかどうか
程の差。
もちろん、後者には、
「26 文字からランダムに選択されるわけではない」
という制約がつく(日本語なら子音、母音、子音、母音の組み合わせが殆ど、等)。
このため、実際の安全性は格段に下がってしまうはず。
だが、それでも圧倒的に安全であり、かつ覚えやすい。
そのうち、辞書攻撃ならぬ「文例集攻撃」みたいなものは出てきそうだが、
それでも現状よりは使いやすく、安全性もあげやすい。
やっぱりこういう情報を常に取得し、
システムに変な制約を課して user を困らせてしまう
という状態をなくしていくことが、セキュリティに携わるものとして必要不可欠だと思う。
Copyright (c) 2017 Webmaster of this site All Rights Reserved.