Bizコンパス

なぜパスワードに数字・記号を強制すべきでないのか
2018.09.07

今知っておきたいITセキュリティスキルワンランクアップ講座第3回

なぜパスワードに数字・記号を強制すべきでないのか

著者 北河 拓士

 今年3月に総務省が「国民のための情報セキュリティサイト」から「定期的にパスワードを変更しましょう」という記述を削除したことを契機として、「パスワードの定期変更は不要」との報道が相次ぎました。

「国民のための情報セキュリティサイト」 では「定期的な変更は不要」の根拠として、米国国立標準技術研究所(NIST)の「電子的認証に関するガイドライン(SP800-63B)」に「パスワードの定期的な変更を要求すべきではない」旨が記載されたことをあげています。

 実は、NISTのガイドライン(SP800-63B)には、「パスワードの定期的な変更を要求すべきではない」以外にも、従来は有効とされていた指針から大きく変更されたものがあります。それは、

「小文字・大文字・数字・記号を混在させるなど、パスワードの複雑さの要件を課すべきではない」

 というものです。これはどういうことでしょうか?今回はこの「パスワードの複雑さの要件を課すべきではない」という指針について考えてみます。

 まず、最初に確認しておきたいことは、NISTのガイドライン(SP800-63B)は、サービス提供者向けのガイドラインで、サービスの利用者を対象にしたものではないということです。NISTのガイドライン(SP800-63B)は、サービス提供側がサービス利用者に対してパスワードに有効期限を設けて強制的に変更させることや、小文字・大文字・数字・記号を混在させる複雑さの要件を強制すべきではないというものであり、サービス利用者自身がパスワードを変更したり、記号などを混在させたパスワードを使用したりすることを制限するものではありません。

 また、同じ桁数のパスワードならば小文字のみより、小文字・大文字・数字・記号を混在させたパスワードの方が、総当たりのパターン数が多くなり、強度が高いという理論に間違いがあったわけではありません。

 例えば、小文字(26種類)のみ7桁のパスワードのパターンは26の7乗で、80億3181万176通りですが、小文字(26種類)、大文字(26種類)、数字(10種類)、記号(33種類)の(26+26+10+33=)95種類を使用した7桁のパスワードのパターンは、95の7乗で、69兆8337億2960万9375通りとなり、小文字・大文字・数字・記号を混在させたパスワードの方が総当たり解析に時間が掛かるのは、理論上はその通りです。しかし、実際の利用者はそのような理論通りのランダムで複雑なパスワードを作成することはなかったのです。

 

パスワードの複雑さの要件を強制するとどうなるのか?

 パスワードの複雑さの要件を強制すると、利用者はどのようなパスワードを作成する傾向があるのでしょうか?NISTのガイドライン(SP800-63B)でも参照されている2つの研究論文から、それらを見ていきましょう。

 1つ目の論文は、フロリダ州立大学などの研究者によるTesting Metrics for Password Creation Policies by Attacking Large Sets of Revealed Passwords(多数の流出したパスワードを攻撃することによるパスワード作成ポリシーの評価基準)です。この研究では、SNS向けアプリ開発のRockYouから流出した3200万件のパスワードなどから、利用者がどのようなパスワードを作成する傾向があるかを分析しています。

 分析の結果、以下のような傾向があることが判明しました。… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

北河 拓士

北河 拓士

NTTコミュニケーションズ株式会社
経営企画部 マネージドセキュリティサービス推進室

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

関連キーワード

SHARE

あなたへのおすすめ

中堅・中小企業のセキュリティ課題はUTMで一挙解決へ!

2018.05.09

セキュリティリソースの不足をいかに補うべきか?

中堅・中小企業のセキュリティ課題はUTMで一挙解決へ!

悪質化するサイバー攻撃に対する新たな対策とは

2018.07.13

セキュリティ対策に求められる新たな視点第1回

悪質化するサイバー攻撃に対する新たな対策とは

IPA情報セキュリティ10大脅威から読み解く、脆弱性対策とは

2018.04.18

短期化する脆弱性の被害を防ぐには?

IPA情報セキュリティ10大脅威から読み解く、脆弱性対策とは

最新セキュリティ対策「インターネット無害化」とは

2018.01.17

注目のセキュリティ対策の最新トレンドを解説

最新セキュリティ対策「インターネット無害化」とは