パスワードの常識は常に変化する
パスワードにまつわるこれまでの常識をおさらいしよう。情報システム部などから「パスワードは月に一度変更しよう」「最低でも1文字は、大文字、記号、数字を入れること」「既に使ったパスワードは再利用禁止」など、パスワードに関するルールが指示されているはずだ。
しかし、これらの根拠は薄いことが最近になって各方面から指摘されている。特にパスワードの定期的な変更について、国内でも縛りが消えつつある。例えば、内閣サイバーセキュリティセンター(NISC)が初心者向けに配布する「ネットワークビギナーのための情報セキュリティハンドブック」には、「パスワードの定期変更は必要なし。流出時は速やかに変更する」と書かれている。
この理由として、定期変更を強いることでユーザーが推測可能なパスワード(例えば、末尾に数字を付けてカウントアップするだけ)を使うようになり、かえって攻撃を受けやすい状況に陥ってしまうことが挙げられている。これは読者も心当たりがあるのではないだろうか。
攻撃者の視点で考えると、未知のパスワードを突破するには「想定できるパスワード文字列を片っ端から試す」ことが最も簡単だ。例えば「123456」や「password」というような、誰もが思い付く文字列をパスワードとして設定する利用者を見つければいい。攻撃側は「ありがちなパスワード」辞書を用意し、それを総当たりで確認するという攻撃を行う。
この攻撃方法では、辞書を拡充することでパスワード試行をより短時間で実行できることが問題だ。
例えば、これまでのパスワードの常識では「a」を「@」に、「s」を「$」に置き換えることでパスワードが「強化」できるとされていた。パスワードの中に「1文字以上は記号を入れること」を簡単に実現する方法だ。弱いパスワードの代表格「password」も「P@$$w0rd」という形に機械的に変換すればいい。
だが、そんなことは攻撃者側にとっても常識だ。辞書に含まれているありがちなパスワードに対して、機械的に記号変換を行えば「強そうなパスワード」も一瞬で解読できるようになる。つまり、昔の常識が通用しない時代が現実となっている。
Copyright © ITmedia, Inc. All Rights Reserved.