ODR Pickups/半蔵門ビジネストーク

株式会社ODR Room Network

このブログは、株式会社ODR Room Networkのお客様へのWeekly reportに掲載されている内容をアーカイブしたものです。但し、一部の記事を除きます。ODRについての状況、国際会議の参加報告、ビジネスよもやま話、たまにロードレーサーの話題など、半蔵門付近を歩きながら雑談するようにリラックスしたお話中心。

【半蔵門ビジネストーク】20170825 パスワードの迷宮

【半蔵門ビジネストーク】20170825 パスワードの迷宮

 

パスワード規則に関する有名な冊子「NISTスペシャルパブリケーション800-63 別表A」(ビル・バー氏)は、間違いだったと本人が言い始めたそうだ。

blogos.com

「小文字や数字や大文字、感嘆符や疑問符などの特殊文字を組み合わせる」ことや、90日ごとに変更することではパスワードクラッキングを防ぐのに苦労の割に効果的でないという。

寧ろ意味のある4語を組み合わせたような長いパスワードのほうが効果的で、複雑な記号や数値、大文字、小文字の組み合わせでも短ければ、例えば、

Pa$sw0oRd

などは、数日で破られてしまう可能性がある。寧ろ、

 

mottooishinihonshokugatabetai(もっとおいしいにほんしょんしょくがたべたい)

 

のほうが破られにくい。

自動計算で文字の組み合わせを創り出しそれを使ってパスワード破りをするシステムでは、長ければ550年かかるだろうとしている。

 

よく考えれば、キー配列によって入力しにくいというのは人間がクラッキングしようとしている場合には効果的かもしれないが、機械的に計算して行く場合には、キーボードの操作のし難さは関係ない。

そしてその意味では定期的な変更も余り意味をなさない。

むろん破られたかもと思ったら変更するべきだが。

 

システム的な対応も有効だ。例えば、最近見かけるのは、複数回の入力ミスや、通常の場所でないところからのアクセスへの警告だ。警告が本人に送られれば、すぐに異常を感知して変更できる。

 

しかし、様々なサイトやデータ、SNSへのアクセスにパスワードを共通に使っていいかという問いは残る。長く分かり易い言葉を使ったとしても忘れたり混乱したりすることはあるだろう。

www.odr-room.net

 長さに着目するなら、同じ単語を複数回くり返すことでも効果がでそうだ。これだと覚える文字は短くても長くできるので、覚えること、長いことの条件を両立できる。

f:id:emandai34:20170629160244j:plain

マイクロソフトのコーマック・ハーリー主任研究員は、人類が1日にパスワード入力に費やす時間が計1300年相当を超えていると話す。

 

この点を考えると、キー入力ではなくて指紋や網膜など、生体認証が標準になることが一番いいか。。。