2017年10月16日月曜日

今までのパスワード規則は失敗!? 見破られにくいパスワードと2段階認証が重要

ITproの記事によると、2017年8月、米ウォール・ストリート・ジャーナルのオンライン版に、「今までのパスワード規則は実は失敗作だった」という衝撃的な記事が掲載。また、米国標準技術研究所(NIST)が発行するガイドライン「SP800-63」の2017年6月最新版では、

 「異なる文字種を組み合わせる規則や定期変更の強制は推奨しない」

という内容に変わったそうです。

 やばいパスワード - 複雑なパスワードを強制、でも破られやすいという現実:ITpro
 http://itpro.nikkeibp.co.jp/atcl/column/17/092800400/101200002/

「制限を課すほど、ユーザーの思考が単純になり、破られやすいパスワードを使うようになってしまった」と分析されています。

ただし、「パスワードの複雑さ」の否定ではなく、「英大文字、小文字、数字、記号をすべて使うよう強制する」という規則が逆効果となり、単純なパスワードの状況は、何も変わっていないとのこと。

典型例が「Password!1」で、英大文字、小文字、記号、数字をすべて使い、文字数も10文字もあるが、攻撃者に破られやすいパスワードになっています。

たしかに、英大文字、小文字、数字、記号をすべて使って、長いパスワードにしても、辞書の単語などの単純な言葉を使ったら、何も意味がないですね。

上記のITproの記事によると、忘れにくく突破されないパスワードの作り方として以下の3つが紹介されています。

 ①「パスフレーズ」の採用
 
 ②「パスワード管理ツール」の利用
 
 ③「2段階認証」を使うこと *ITproの記事では「2要素認証」として紹介


なお、「2段階認証」は、インターネットバンキングで利用されているワンタイムパスワードと同じような効果があり、パスワードに加えて、事前に登録した電話やスマホのメールで受け取る確認コードの入力が必要になります。

以下に、私がまとめた重要なWebサービスの”2段階認証”を紹介しますので、ぜひ参考にして下さい。

 Googleの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/09/500google2.html

 Dropboxの”2段階認証”について
 http://lifesecurityup.blogspot.com/2014/10/dropboxid.html

 Microsoftの”2段階認証”について
 http://lifesecurityup.blogspot.jp/2015/08/microsoft2.html

 Amazonの2段階認証でアカウントの不正利用を防ごう!
 http://lifesecurityup.blogspot.com/2017/06/amazon2.html

 Yahoo! Japanの2段階認証(ワンタイムパスワード)で不正利用を防ごう!
 http://lifesecurityup.blogspot.com/2017/05/yahoo-japanid.html



■ 忘れにくく突破されないパスワードの作り方


できるだけ長く、推測されにくく、複雑なパスワードの設定には、大きく3つの方法があると、下記のITproの記事に紹介されています。

 やばいパスワード - 複雑なパスワードを強制、でも破られやすいという現実:ITpro
 http://itpro.nikkeibp.co.jp/atcl/column/17/092800400/101200002/


①「パスフレーズ」の採用

単語(ワード)ではなく、複数の単語を組み合わせた短文や熟語(フレーズ)を使う。思いつき、小説の一部、歌詞などから、覚えられる範囲で長いパスフレーズを作ります。

例えば、「テレビは1日1時間」という日本語の文から「Terebiha1niti1Jikan」というパスフレーズを作れます。英大文字、小文字、数字を組み合わせて使うことがポイントです。

私も、最近は、このパスフレーズを使ってパスワードを考えています。


②「パスワード管理ツール」の利用

ツールは「#7bAp8w_」のような、複雑なパスワードを自動生成します。パスワード管理ツールが本人に代わって記憶し、ログイン時に利用者が参照したり、ブラウザーと連携してツールがログインフォームに自動入力したりできます。

ただし、無料の「1Password」や「LastPass」などのパスワードマネージャーには、セキュリティ研究者によると重大な欠陥があるそうなので、使用しないほうが無難です。

私は、セキュリティソフト大手のトレンドマイクロが提供している、パスワードマネージャーを利用しています。月額版を使うと「154円(税込)」なので、便利です。

パスワードマネージャー - トレンドマイクロ - https://www.trendmicro.com/ja_jp/forHome/products/pwmgr.html


③「2段階認証」を使うこと *ITproの記事では「2要素認証」として紹介

2段階認証方式にした場合、ユーザー名とパスワードに加えて、事前に登録した電話やスマホのメールで受け取る確認コード(単にコードやセキュリティコードとも呼ばれます)を入力しなければログインできません。

結果として不正アクセスを行われる危険を大幅に軽減することができます。



■ パスワード攻撃にはどんなものがあるの?


①ブルートフォース攻撃

攻撃者が総当たりで数字や文字の組み合わせを試して、不正にログインしようとする攻撃です。危険なのは「aa」のような極端に単純なパスワードです。

②辞書攻撃

辞書にある単語や、パスワードによく使われる文字列の集まりを試して、不正にログインしようとする攻撃です。過去に流出したパスワードは攻撃者の間で広く知られ活用されます。

③個人情報を使った攻撃

個人の属性からパスワードを推測する方法で、パスワードとして、誕生日やペットの名前を試してみるというもの。有名人がメールやSNSを盗み見られたりする被害に遭うのはこのパターン。

④パスワードリスト攻撃

Webサイトから漏洩した情報を使って、別のWebサイトに不正ログインしようとする攻撃。どんなに複雑なパスワードを設定しても、パスワードを使い回していると、1回の漏洩ですべてのWebサイトが不正ログインされてしまいます。

パスワードリスト攻撃の例として、サイトA~Cで、以下のように同じID・パスワードを使っていた場合、サイトAから盗まれたID・パスワードを使い、他のサイトB、サイトCに不正アクセスが可能になります。単純なことですが、意外に忘れがちな落とし穴です。

  サイトA・・・ログイン ID=abc パスワード=xyz12345

  サイトB・・・ログイン ID=abc パスワード=xyz12345
    *サイトAとID・パスワードが同じ

  サイトC・・・ログイン ID=abc パスワード=xyz12345
    *サイトAとID・パスワードが同じ

なお、ログインの際に、パスワードに加えてセキュリティコードの入力が必要な「2段階認証」というのがありますが、これを利用することで、「パスワードリスト攻撃」も防ぐことができ、安全になります。