こんにちは。 先駆・情報システムチームです。
昨今、テレワークの増加に伴い、 ビデオチャットや、共同編集可能なクラウドサービスの利用が増加しています。 皆様におかれましても、パスワードを管理する機会がますます増えていることと思います。
今回は、セキュリティの観点から「パスワードの生成」について、 注意事項や安全性の確認手段をご紹介します。
パスワードの管理は、一番身近で一番効果的なセキュリティ対策です。
お客様に安心してサービスをご利用いただけるよう、 先駆では「パスワード管理」に関してルールを設けております。 ※ここでいう「パスワード管理」とは「生成」、「設定」、「保管」、「運用」のすべてを含んでいます。 パスワードは、「WEB サイト」「ソフト・サービス」「IT 機器」に分類し、 決められた手順で保管するなど、社内ハンドブックに則った運用を実施しております。
パスワードは、あなたの個人情報や信用を守るための「大切な鍵」です。 正しい知識を身に着けて、悪意のある攻撃者に大事な情報を奪われないよう、 以下の内容をしっかりとご確認いただければと思います。
パスワードを使った認証の分類
同じサービスで固定されたIDとパスワードを使用して認証できる単要素認証(AAL1)、 アクセスのたびに発行される、一度だけ有効な「ワンタイムパスワード」、 パスワード以外に指紋や静脈を使う「バイオメトリクス認証」など、 パスワードを使用した認証には種類があります。
認証を2つ組み合わせないといけない2 要素認証(AAL2, AAL3)などもあります。
先駆が行っているパスワード管理に関するルール
先駆では、パスワードの生成について必須事項、禁止事項を定めています。
必須事項として定めている内容は以下です。
- 10 文字以上の文字数で構成されている
- アルファベットの大文字と小文字、数字や「@」、「%」、「&」などの記号を組み合わせる
- ID・パスワードの使い回しをしない
また、禁止事項としては、以下を定めています。
- 名前 、愛称、地名、電話番号、生年月日、辞書に載っている単語、よく使われるフレーズは使わない(悪い例:catfood)
- 同じ文字・数字を連ねただけにしない(悪い例:555555)
- 他者に見えるところに記さない。また他者に教えない。(悪い例:付箋で貼っておく) 従業員に対して、これらの内容で教育、確認、実施を行い、徹底しております。
パスワード作成に関する注意
皆様がパスワードを作成される際には、以下のことにご注意下さい。
適切な長さの文字数にする
文字数が短すぎると、総当たり攻撃を想定した場合、 悪意ある攻撃者のパスワード試行回数が減り、より少ない時間でパスワードを盗まれる可能性があります。
推測されやすい文字列を避ける
辞書に載っている単語をつなぎ合わせたものや、SNS 等に記載されている名前などの個人情報、 誕生日などの組み合わせを使用すると悪意ある攻撃者にパスワードを推測されてしまう可能性があります。
アルファベットと数字、記号を混在させる
悪意ある攻撃者は、「適切な長さの文字数にする」、「推測されやすい文字列を避ける」の 2 つに関して、 一文字ずつパスワードを変えていく総当たり攻撃や、何十万というパスワードの組み合わせによる辞書攻撃をプログラムによる自動化で行います。 アルファベットや数字、記号を使用することで、プログラムによって生成されにくく、破られにくいパスワードになります。
ID・パスワードの使い回しをしない
別のサービスからパスワードが流出した際、他のサービスまで被害が拡大することを回避できます。
また、定期的なパスワードの変更について、 これまで多くのサービスでパスワードの変更を義務付けていましたが、 現在はアメリカ国立標準技術研究所(NIST)や 内閣サイバーセキュリティセンター(NISC)では 認証機能自体が破られる事態が確認されるまで変更を行うべきでないとされています。
NIST(アメリカ国立標準技術研究所)が作成したガイドライン 「SP800-63-b 10.2.1 Memorized Secrets」
NISC(内閣サイバーセキュリティセンター)が作成したハンドブック 「インターネットの安全・安心ハンドブック Ver 4.10 第 3 章 8 節 パスワードの定期変更は基本は必要なし。ただし流出時は速やかに変更する」
セキュリティリテラシーに明るくない、先ほどの注意事項をまだ知らない方が定期的にパスワードの変更を行うと、 破られやすいパスワードを設定してしまうことも想定されるため、 弊社としても安易なパスワード変更は推奨致しません。
パスワードの強度確認
作成したパスワードの強固さを確認する Web サービスをご紹介します。
似たようなサービスは複数ありますが、 ここではウイルス対策ソフトとして有名なカスペルスキーが提供する 「Kaspersky: Secure Password Check」を紹介します。 https://password.kaspersky.com/jp/
試しに「password123」をチェックしたところ、「よく使われる文字組み合わせがあります」という警告が表示され、 辞書に乗っているような文字列の組み合わせであると指摘されます。
また、
「一般的な家庭用コンピューターを使って 6 秒で解読されてしまう」 「『デオキシリボ核酸』と書いている間に解読されます」
というように、 今回のパスワードが解読されるまでの時間を、ちょっとしたジョークなども交えて表示されますので、 普段ご自身が作成しているようなパスワードがどのぐらいで破られてしまうのか、 確認してみるのもよいかと思います。
先ほどのパスワードに記号を加え「%pass%word%123」に変更してみましょう。
「パスワードが解読されるまでの時間が 17 世紀(月と地球の間を歩いて 67 回 往復できます)」
に変わりました。 記号が混在するだけで強固なパスワードに代わることが実感できるかと思います。
おわりに
今回は、単要素認証(AAL1)で使用するパスワードについてお話しました。 次回以降、「ワンタイムパスワード」や、「バイオメトリクス認証」など 2 要素認証(AAL2, AAL3)を必要とする場合についてや、 実は危ない「秘密の質問」機能、パスワードの管理方法などについてもご紹介できればと思います。