【半蔵門ビジネストーク】20170825 パスワードの迷宮
パスワード規則に関する有名な冊子「NISTスペシャルパブリケーション800-63 別表A」(ビル・バー氏)は、間違いだったと本人が言い始めたそうだ。
「小文字や数字や大文字、感嘆符や疑問符などの特殊文字を組み合わせる」ことや、90日ごとに変更することではパスワードクラッキングを防ぐのに苦労の割に効果的でないという。
寧ろ意味のある4語を組み合わせたような長いパスワードのほうが効果的で、複雑な記号や数値、大文字、小文字の組み合わせでも短ければ、例えば、
Pa$sw0oRd
などは、数日で破られてしまう可能性がある。寧ろ、
mottooishinihonshokugatabetai(もっとおいしいにほんしょんしょくがたべたい)
のほうが破られにくい。
自動計算で文字の組み合わせを創り出しそれを使ってパスワード破りをするシステムでは、長ければ550年かかるだろうとしている。
よく考えれば、キー配列によって入力しにくいというのは人間がクラッキングしようとしている場合には効果的かもしれないが、機械的に計算して行く場合には、キーボードの操作のし難さは関係ない。
そしてその意味では定期的な変更も余り意味をなさない。
むろん破られたかもと思ったら変更するべきだが。
システム的な対応も有効だ。例えば、最近見かけるのは、複数回の入力ミスや、通常の場所でないところからのアクセスへの警告だ。警告が本人に送られれば、すぐに異常を感知して変更できる。
しかし、様々なサイトやデータ、SNSへのアクセスにパスワードを共通に使っていいかという問いは残る。長く分かり易い言葉を使ったとしても忘れたり混乱したりすることはあるだろう。
長さに着目するなら、同じ単語を複数回くり返すことでも効果がでそうだ。これだと覚える文字は短くても長くできるので、覚えること、長いことの条件を両立できる。
マイクロソフトのコーマック・ハーリー主任研究員は、人類が1日にパスワード入力に費やす時間が計1300年相当を超えていると話す。
この点を考えると、キー入力ではなくて指紋や網膜など、生体認証が標準になることが一番いいか。。。