情報セキュリティには「常識」とされるさまざまな対策・行動があります。しかし私たちが当たり前のように受け入れている常識の中には、実は「誤解」にもとづく対策・行動が混じっているのもご存じでしょうか。

 そんな情報セキュリティにまつわる「常識の誤解」を晴らすのが、情報セキュリティ分野の第一人者、国立研究開発法人 産業技術総合研究所の高木浩光主任研究員です。前編に続き、パスワードに関する誤解について高木氏が解説します。(取材/文/構成 ノーバジェット)

<本記事は後編です。前編はこちらから

国立研究開発法人 産業技術総合研究所
情報技術研究部門 主任研究員 高木 浩光氏

名古屋工業大学大学院工学研究科博士後期課程修了。博士(工学)。名古屋工業大学助手を経て、1998年に通商産業省工業技術院(現・産業技術総合研究所)電子技術総合研究所に転任。2000年より、Webアプリケーションの脆弱性対策など各種ガイドラインの策定に関わる。現在は内閣官房内閣サイバーセキュリティセンター(NISC)情報セキュリティ専門指導官を兼任し、セキュリティ関連の評論活動も行っている。

 

パスワードの長さ制限をなくそう

 前編では覚えやすくて安全なパスワードの決め方として、国語辞典をランダムに開いて3つの単語をつなげる方法をおすすめしました。しかし、それをいざ実践しようとしても、できない場合があります。それは、長いパスワードを受け付けないシステムがあるからです。

 例えば銀行のインターネットバンキングのサイトを見てみると、2018年現在でも8文字以下の長さでしか設定できない銀行があります。セキュリティ意識の高い銀行は、数年前から32文字まで設定できるように改善したようです。他方で、どういうわけか、中途半端なことに「16文字以下」に制限している銀行もあるわけです。

 16文字あれば十分に複雑なパスワードを設定できるかのように思えるかもしれませんが、前編でおすすめした「3つの単語をつなげる」方法では、20文字前後の長さになりますので足りません。「覚えやすくてランダム」というパスワードを実践できるようにするには、20文字では足りないのです。

 クレジットカードのサイトも、数年前に「お客様のご要望が多かった」として、パスワードの長さを伸ばしたところが複数ありますが、なぜか「20文字まで」という中途半端な長さでした。そもそも21世紀のこの時代に、長さを制限する必要があるのか大いに疑問です。

 技術的な理由を言えば、パスワードは入力されたらすぐに「暗号論的ハッシュ関数」に通されて、決まった固定の長さ(ハッシュアルゴリズムがSHA-256なら32バイト)に変換して扱われますから、データベースには固定長で記録されており、どんなに長いパスワードでも同じように扱えるはずです。

 そうは言っても、システムを設計する段階で、制限を設けないと仕様書が完成しないという事情はあるのでしょう。仕様書を作成する担当者が、考えなしに「20文字まで」といった制限を決め、開発を担当する技術者は「何文字でも処理できるのになぜ短く制限するのだ?」と疑問に思いつつも、仕様書通りに実装しているというのが実情でしょうか。

 この際、32文字などと切り詰めずに、100文字でも、1000文字でも使える仕様にしたらいいと思います。

 

いらなくなった制限を廃止しよう

 大文字・小文字に数字・記号を必ず混ぜるように強制するシステムも、実践の邪魔です。前編のパスワードの例「yokubanmoujuyakuyoke」は安全なのに、大文字と数字・記号が含まれていないという理由で設定できないシステムが多くあります。仕方なく最初の1文字を大文字にし、最後に数字「2」と記号「!」を付けることで回避できますが、無益なことです。

 パスワードに数字・記号を混ぜよというルールは、長さが8文字までに限られていた昔のシステムのなごりです。1990年代までのコンピュータでは、OSの設計上、パスワードは8文字までしか使えませんでした。不正ログインの被害が出始めて、「辞書に載っている単語は危険」と言われるようになり、数字や記号を混ぜようと言われるようになりました。8文字ではそうするしかなかったのです。

 21世紀の今日、8文字までしか使えない理由はないのですから、数字・記号を混ぜる必要性もなくなりました。

 前編の冒頭で紹介した米国NISTの「電子認証に関するガイドライン」は、改定される前の版(2003年版)では、「小文字、大文字、記号、数字を含むパスワードを選択するようユーザーに求める」と規定していましたが、2017年の改定で削除されました。改訂に際して、2003年版の執筆に携わった元職員が「後悔している」と告白して話題になりました。(ZDNet Japan「あの「面倒なパスワード作成ルール」、作った人も後悔していた」 2017年08月16日)

 

古くなった解説がなくならない!

 しかし、一度広まったルールはなかなか改まらないものです。例えば… 続きを読む

全文(続き)を読む

続きを読むにはログインが必要です。

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

高木 浩光

高木 浩光

国立研究開発法人 産業技術総合研究所 情報技術研究部門 主任研究員

名古屋工業大学大学院工学研究科博士後期課程修了。博士(工学)。名古屋工業大学助手を経て、1998年に通商産業省工業技術院(現・産業技術総合研究所)電子技術総合研究所に転任。2000年より、Webアプリケーションの脆弱性対策など各種ガイドラインの策定に関わる。現在は内閣官房内閣サイバーセキュリティセンター(NISC)情報セキュリティ専門指導官を兼任し、セキュリティ関連の評論活動も行っている。

関連キーワード

連載記事