パスワードや暗証番号に何を使っていますか
もし、会社の人が急病で病院に担ぎ込まれて、面会謝絶になった場合、その人の端末のログインパスワードがわからないと、仕事の継続ができない。
しかし、多くの場合、パスワードに「1234」あるいは誕生日が11月6日だとしたら「1106」という数字を入れてみたら、かなりの確率で当たる。それでもあたらなかった場合、パスワード解析ツールを使えば、ほとんどの場合数分で判明する。
パスワードというものは、かくも脆弱なものが多いのだ。
パスワードの解析がどのように行われるかご存知だろうか。実は辞書にある単語と数字や記号を組み合わせて総当りで試しているのだ。パソコンの計算能力が低かった昔なら複雑なパスワードを組み合わせれば、総当たりに要する時間が膨大になるため、解析されなかったものだが、いまや一昔前のスーパーコンピュータ並の計算性能を出すパソコンが普及しているので、複雑なパスワードだからといって安心はできない。
安全性を考慮するならば、指紋などの生体認証のほうがはるかに効率がよいが問題点もある。すなわち代理作業ができないのだ。先の例のように急に入院などのトラブルが発生したら、システム管理者を呼んでログイン設定をリセットしなければならない。しょっちゅう不在の人ならば、面倒になって生体認証そのものを取りやめるユーザも出るだろう。
銀行などでも、誕生日を元にした暗証番号は止めましょうというキャンペーンを張ると共に、生体認証機能付きカードへの移行を進めているが、やはり足腰の弱いお婆ちゃんのために孫が代わりに年金を降ろしてくるなどのニーズに対応できていない。
現在のところ、有望なのがワンタイムパスワード・トークンを使用した二重パスワードである。一部のネット銀行で使われているが、ログインIDと通常のパスワード(固定)、そして1分置きに変化するワンタイムパスワードの3つで認証を行うという方法だ。これならば、パスワードを解析されても、ワンタイムパスワードトークンを入手しなければ不正ログインされない。
会社などでは、「容易に推測されない複雑なパスワードを設定しましょう」というお触れを出しているが、これはシステム管理者の安心のためにそういうお触れを出しているに過ぎない。実際には、先に紹介したような「1234」のようなバッドパスワード(安直なパスワード)を使っていたり、複雑なパスワードを設定した上で、パスワードを紙に書いて端末に張っている。パスワードは有名無実化しているのだ。
生体認証が導入できないのであれば、パスワードを使い続けるしかないので、むしろセキュリティのメリハリを付けるというのもひとつの方策である。たとえばグループウェアにパスワードは必要であろうか。業務で使うシステムにプライバシーは存在しないだろう。端末固定で利用範囲を決めるか、シングルサインオンの導入で対処してもよい。外部からの不正侵入を受けたときに内部システムを守る防御線の役割もあるが、それはむしろ侵入検知システムの導入で対処すればよい話。秘匿性の高い情報を一元的に集約し、そこには厳重なセキュリティを施すといった方策のほうが重要であろう。
パスワードそのものを否定しているわけではない。ただ、システムを使うための「おまじない」と化しているパスワードを、システムごとに設定して安心するのではなく、保有情報資産の重み付けと管理体制のメリハリを付けることを強調したいのである。
(編集部 真田裕一)
-ITからセレブ、オタク、事件・事故まで。スルーできないニュース満載-
TechinsightJapan(テックインサイトジャパン)はコチラから!
【参照】
http://antivirus-news.net/2009/01/hasebe20090126.html
しかし、多くの場合、パスワードに「1234」あるいは誕生日が11月6日だとしたら「1106」という数字を入れてみたら、かなりの確率で当たる。それでもあたらなかった場合、パスワード解析ツールを使えば、ほとんどの場合数分で判明する。
パスワードというものは、かくも脆弱なものが多いのだ。
安全性を考慮するならば、指紋などの生体認証のほうがはるかに効率がよいが問題点もある。すなわち代理作業ができないのだ。先の例のように急に入院などのトラブルが発生したら、システム管理者を呼んでログイン設定をリセットしなければならない。しょっちゅう不在の人ならば、面倒になって生体認証そのものを取りやめるユーザも出るだろう。
銀行などでも、誕生日を元にした暗証番号は止めましょうというキャンペーンを張ると共に、生体認証機能付きカードへの移行を進めているが、やはり足腰の弱いお婆ちゃんのために孫が代わりに年金を降ろしてくるなどのニーズに対応できていない。
現在のところ、有望なのがワンタイムパスワード・トークンを使用した二重パスワードである。一部のネット銀行で使われているが、ログインIDと通常のパスワード(固定)、そして1分置きに変化するワンタイムパスワードの3つで認証を行うという方法だ。これならば、パスワードを解析されても、ワンタイムパスワードトークンを入手しなければ不正ログインされない。
会社などでは、「容易に推測されない複雑なパスワードを設定しましょう」というお触れを出しているが、これはシステム管理者の安心のためにそういうお触れを出しているに過ぎない。実際には、先に紹介したような「1234」のようなバッドパスワード(安直なパスワード)を使っていたり、複雑なパスワードを設定した上で、パスワードを紙に書いて端末に張っている。パスワードは有名無実化しているのだ。
生体認証が導入できないのであれば、パスワードを使い続けるしかないので、むしろセキュリティのメリハリを付けるというのもひとつの方策である。たとえばグループウェアにパスワードは必要であろうか。業務で使うシステムにプライバシーは存在しないだろう。端末固定で利用範囲を決めるか、シングルサインオンの導入で対処してもよい。外部からの不正侵入を受けたときに内部システムを守る防御線の役割もあるが、それはむしろ侵入検知システムの導入で対処すればよい話。秘匿性の高い情報を一元的に集約し、そこには厳重なセキュリティを施すといった方策のほうが重要であろう。
パスワードそのものを否定しているわけではない。ただ、システムを使うための「おまじない」と化しているパスワードを、システムごとに設定して安心するのではなく、保有情報資産の重み付けと管理体制のメリハリを付けることを強調したいのである。
(編集部 真田裕一)
-ITからセレブ、オタク、事件・事故まで。スルーできないニュース満載-
TechinsightJapan(テックインサイトジャパン)はコチラから!
【参照】
http://antivirus-news.net/2009/01/hasebe20090126.html
