★阿修羅♪ 現在地 HOME > 掲示板 > IT3 > 162.html
 ★阿修羅♪
次へ 前へ
パスワード設定のホントとウソ(後編) (1/2)【ZD Net記事】
http://www.asyura2.com/2us0310/it03/msg/162.html
投稿者 クエスチョン 日時 2003 年 10 月 11 日 20:22:08:WmYnAkBebEg4M

(回答先: パスワード設定のホントとウソ(前編) (1/2)【なるほど、仕組みを分ってる方が効果的だ。】 投稿者 クエスチョン 日時 2003 年 10 月 04 日 23:28:06)

エンタープライズ:ニュース 2003/10/09 18:00:00 更新

パスワード設定のホントとウソ(後編) (1/2)【ZD Net記事】
http://www.zdnet.co.jp/enterprise/0310/09/epn01.html

しばしば「パスワードは長いほどいい」「付箋などにメモしてはいけない」などと言われる。だが、時代の変化やパスワードシステムの仕組み、現実の運用を踏まえると、中には妥当でないものも含まれている。前回に続き、その真偽に迫ってみよう。


<<前編へ

 情報セキュリティの基本中の基本であるパスワードだが、強いパスワードとはどんなものか、どうすればパスワードを強化できるかといった具体的な事柄になると、意外と知られていないようだ。「パスワード設定のウソとホント」後編では、前編に引き続き、一般に言われているパスワードの「迷信」の真偽を追求していこう。

6:パスワードは定期的に変更しなければならないのか?

 当たり前といえば当たり前だが、パスワードを定期的に変更していると、新しいパスワードを作成するたびに記憶しているパスワードが増える。あまりに多くのパスワードを覚えていると、だんだん記憶が混乱してきて、現時点で使っているパスワードがどれなのかが分からなくなったりする。また、定期的に強いパスワードを作り続けることには大変な労力を必要とする。こうなると残念ながら人間の性として、作成するパスワードがだんだんと簡単なものになってしまう。

 このような状況になると、定期的な変更期間の間でさえ保ち得ないような弱いパスワードばかり作るようになってしまう。これではシステムの保護という観点から見ても逆効果だ。

 したがって、人間の記憶力と運用の実態を考えれば、一般的なセキュリティポリシーには反することではあるが、強いパスワードを1つだけ作り、それを長期間使うほうが安全であるとも言える。

7:パスワードは危険だから他の認証手段に変えるべき?

 皆がパスワードの強さと弱さを理解し、正しい運用を行ってさえいれば、パスワードを使った認証手段はまったく危険ではない。パスワードによる認証が危険になってしまう原因は、パスワードを使っている人のいい加減な運用にある。

 さて、このようにパスワードをいい加減に運用している人が、他の認証手段を用いたところで、それをきちんと運用できるだろうか? たとえば認証に使うICカードを誰にでもわかるところに放置するという具合で、他の認証手段を使ったところで、やはりいい加減な運用しかしないのではないだろうか。パスワード認証に代わる他の認証手段を検討する前に、認証手段を正しく運用するための体制作りやユーザー教育が必要なのだ。

8:ロックアウトは設定すべきか?

 オンラインで次々にパスワードを変えながらログインを試みるような、オンラインでの総当り攻撃への対抗策として、ロックアウトを設定するところも多いであろう。ロックアウトされてしまうと管理者がロックアウトを外すまで、正規のユーザーですらシステムにログインできなくなってしまう。

 これは見方を変えると、ユーザーのシステム利用を妨げるためのDoS(サービス妨害)攻撃ということだ。すなわち、悪意ある攻撃者が、ログインそのものを目的とせずにログイン行為を繰り返すことで、相手のシステム利用を邪魔することもできる。

 オンラインでの総当り攻撃はタカが知れている。そのためロックアウトを設定するよりは、オンラインでの総当り攻撃程度では推測されない程度の強さのパスワードを設定しておくほうがいい。

9:初期パスワードはパスワードジェネレータで生成すべきか?

 パスワードジェネレータは、英数字や記号をランダムに選択して自動的にパスワードを生成してくれるツールだ。これで作成したパスワードには、英数字や記号が適度に含まれるので、人が考えるような非常に弱いパスワードを生成することはほとんどない。

 しかし、こうしたツールはランダム性に基づいてパスワードを作成するので、生成されるパスワードの強さに対する保障はまったくない。つまり、非常に強いパスワードを生成する可能性もあるが、逆に大して強くないパスワードを生成する可能性も大いにある。パスワードジェネレータで作ったパスワードは、強さを確認してから使うようにしたほうがいいだろう。

パスワード運用、「本音」の留意点 では、以上9つの迷信に対する検証を踏まえ、現実の運用状況に照らし合わせながら、最大限パスワードの強度を高め、適切に運用していくためのポイントを最後に紹介しよう。

      | 1 2 | 次のページ

[三島 崇(セキュリティフライデー),ZDNet/JAPAN]

エンタープライズ:ニュース 2003/10/09 18:00:00 更新


パスワード設定のホントとウソ(後編) (2/2)


<管理者編>

 ユーザーは、それぞれの組織で決められたポリシーにしたがってパスワードの運用を行う。しかし、ポリシーに従った運用を行おうにも、システムそのものがポリシーを満たさない仕組みになっていると、ポリシーを設定する意味が薄れてくる。管理者は、自分で管理しているシステムがポリシーを満たすものかどうかをチェックし、適切なシステム構築・設定を行わなければいけない。

パスワード強度を活かせるシステムにし、正しい指導を行う

 パスワードの強さは、どんなパスワードを付けるかだけでなく、システムがそのパスワードをどのように扱っているかにも依存している。管理者としては、ユーザーが考えた強いパスワードが活かされるようにシステムの設定を行う必要がある。

 UNIXで古くから使われているDESという暗号アルゴリズムを用いたパスワードシステムでは、パスワードを8文字までしか扱わない。8文字を超えるパスワードに対応するために、MD5などの新しい暗号化を使ったパスワードシステムに変更したほうがよい。また、DESとMD5など複数の暗号アルゴリズムをサポートしていても、最初のユーザー設定時にはDESのほうを用いるOSなどもあるため、管理者は一度、自分が管理しているシステムでパスワードがどのように扱われているか確認しておくほうがいいだろう。

認証システムの違いを知り、知らせる


メールとWindowsとでは異なるパスワードを使う

 メールのパスワードとWindowsのパスワードとで、同一のものを使っている人は多いだろう。しかし前編で述べたように、メール取得のプロトコルとして多くの場所で使われているPOPでは、簡単に他人にパスワードを知られてしまう。

 このように、簡単に入手できるメールのパスワードとWindowsのパスワードを同じにしていると、暗号化で保護されているはずのWindowsのパスワードも、簡単に他人に知られてしまうことになる。メールとWindowsでは違うパスワードを付け、運用するようにしなければならない。


Windows 2000/XPは15文字以上

 Windows 2000/XPではWindows 9x/Meとは異なる暗号方式を主に使っているが、Windows 9x/Meとの互換性維持のため、Windows 9x/Meで採用されている暗号方式を使ったLMハッシュも生成する。LMハッシュは、Windows 2000/XPで使っているパスワードに比べて非常に弱く、比較的間単にパスワードが推測できてしまう。そして、LMハッシュ方式のパスワードが推測されると、そこからWindows 2000/XPのパスワードの推測も簡単に行われる。つまり、LMハッシュの弱さに引きずられてWindows 2000/XPのパスワードの強度が弱くなってしまうのである。

 ところが、Windows 2000/XPで15文字以上のパスワードを設定すると、このLMハッシュが生成されなくなる。この結果、Windows 2000/XPの暗号システムの本来の強さが発揮できるようになるのだ。Windows 2000/XPでは常に、15文字以上のパスワードを設定するようにしよう。


メールなど(UNIX系)は8文字で強化し、さらに長くする

 UNIX系のパスワードシステムの中には、最初の8文字までしか扱わないものがあることは、前編で述べたとおりだ。もしユーザーが、利用しているシステムで8文字までしか扱われないことに気づかない場合、長いパスワードを設定して本人だけは強さを確保したつもりになっていても、実際には弱いパスワードとなっている危険性がある。8文字までのシステムでも一定の強さを得られるよう、まず、8文字までの長さでしかも強いパスワードを作り、それにいくつか文字を加えて長くするようにしたい。


Windows 9x/Me/NTでは、7文字で強化する

 Windows 9x/Me/NTでは、パスワードのうち14文字までが実際の認証に用いられる。そしてこのパスワードは、7文字ごとに区切られて暗号化されている。パスワードの推測を行うときは前半と後半のそれぞれを同時に推測できるため、全体としては7文字のパスワードの強さにしかならない。したがって、前半の7文字だけで十分な強さを確保する必要がある。

 こういったシステムごとの特色を踏まえ、それぞれに応じたパスワードを設定するようユーザーに周知することが重要だ。また、パスワードには必ず一定数以上の文字を用いるよう、システム側で強制的に設定することもできる。

<ユーザー編>


忘れてしまうなら、安全な方法でメモを

 毎日使っているWindowsのパスワードならば、使っているうちに自然と指が憶えてしまうものだ。しかし、ごくまれにしか使わないパスワードやパソコンに記憶させてしまったパスワードとなると、すぐに忘れてしまうことも多いだろう。そして、パスワードを曖昧に記憶していると、かえって危険な状態を招きやすい。パスワードを曖昧に憶えているぐらいならば、安全な方法でメモを取ることも一つの方法だ。ただし、すぐに見つかるような場所にメモを置いておくのは危険なので、実際にそのパスワードを使う場所とはできるだけ離れた場所に保管するようにしよう。


パスワード入力を練習するべき

 強いパスワードは憶えにくくなることが多い。憶えにくいパスワードの場合、入力をするときも一文字ずつ思い出しながらゆっくりと入力してしまいがちだ。しかし、そのようにゆっくりパスワードを入力しているとき、側に人がいると、その人にパスワードを知られてしまうことになる。側にいた人が故意にパスワード入力を覗いているとは限らないが、こうした覗き見の方法は「ショルダーハッキング」といって、パスワード入手のために頻繁に用いられる手段でもある。

 これを防ぐために、人に見られるような状況ではパスワードは入力しないことが望ましい。しかし、会議でのプレゼンテーションなど、どうしても人前でパスワードを入れなければならないような状況もあるだろう。そのような場合でも盗み見られることがないように、常日頃からパスワードの入力を練習しておこう。


覚えられる範囲のパスワード(3〜4個)を上手に使う

 Windows、メール、グループウェアなど、いまや1人のユーザーでもパスワードを使う場面は多数あるだろう。Web上で何らかのサービスに会員登録を行っていたりすれば、20〜30個のパスワードを管理することもあるかもしれない。

 その中には、メールのパスワードのように平文のまま扱われる危険なものもあるし、Web上のサービスのように、ユーザーからはそのパスワードがどのように扱われているかが判断できないものもある。そう考えていくと、1つのパスワードをあらゆる場所、あらゆるサービスで用いるのは非常に危険だ。だからといって、人間の記憶にも限界がある。システムやサービスごとにすべて、別々のパスワードを設定するといっても、実際には無理があるだろう。

 そこで、3〜4個程度と記憶できる範囲で複数のパスワードを作成し、それらをうまく使いまわすというやり方がお勧めできる。たとえば、「必ずばれてしまうであろうパスワード」「あまりばれてほしくはないが、万が一ばれてしまっても構わないパスワード」「絶対にばれては困るパスワード」といった具合に、目的と必要な強度ごとに3〜4段階程度に分類し、場所に応じてこれらのパスワードを使い分けるといった方法がある。

 また、やや宣伝じみるが、筆者が所属するセキュリティフライデーでは、ここまで紹介したパスワード作成・管理のポイントを織り込んで「認術修業」というソフトウェアを提供している。こうしたツールを用いることで、より少ない負担で、効果的にパスワードを運用していくことができる。

 以上、主なポイントに絞ってパスワードのホントとウソ、理想と現実の運用について紹介してきた。いずれにしても、「パスワード」がセキュリティ対策の基本であり、管理者も、またユーザー一人一人もそのことを認識することがまず重要だ。この記事がその手助けになれば幸いである。

関連記事
パスワード設定のホントとウソ(前編)
Windowsのパスワードはやはり脆弱
「パスワードこそセキュリティの根本」とセキュリティフライデー

関連リンク
セキュリティフライデー
パスワード運用支援ソフトウェア「認術修業」

前のページ | 1 2 |      

[三島 崇(セキュリティフライデー),ZDNet/JAPAN]

 次へ  前へ

IT3掲示板へ


フォローアップ:
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。