オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >
RSS
新倉茂彦の情報セキュリティAtoZ

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

いつになってもたいして変わらない「パスワード」の問題点

»

パスワードのワーストランキングが出ましたね。まぁ例年とたいして変わりません。ちょっと気になるのは、首位が「123456」になり、新たに6位に「123456789」と、変わったところくらいでしょうか(笑)

「安易なパスワード」ランキングの最新版、首位が交代

パスワード管理ソフトメーカー米SplashDataがまとめた2013年版「安易なパスワード」のランキングで、これまで首位を保ってきた「password」が初めて2位に転落し、代わって「123456」が最悪のパスワードに浮上した。

l_pswd01.jpg

生体認証やワンタイム、イメージの組合せ等、文字パスワードに変わる仕組みも多くなってきましたが、基本は「文字の組合せ」がまだまだ一般的です。

面倒ですが、二段階認証等を使うことで、123456であっても随分マシになると思いますが、度々の手間で「そう多くは使われていない」ように思います。

ただ、関所であるパスワードは、安易なものであっても、難しいものであっても・・・破られるまでは大丈夫!と言えるのでしょうか?

「一生死なない」と言っているのと変わらないと思います。度々の手間は、たった一度の破られないための「日常の作業」です。

まず考えなければならないのは、

①こんなパスワードを使う人と

②こんなパスワードしか作れない教育

にあるのではないでしょうか?

①こんなパスワードを使う人

誰しもパスワードが「重要な鍵」であることは知っていますが、それが突破されても「たいした問題でない」と考えている意識でしょうか?

わかっていることと、実際に行うことの大きな違いです。

世の中から「物理的な金属の鍵」がなくなり、すべてが文字の組合せになったとしたら・・・それでも123456を使いますかね?

家の玄関から鍵がなくなり、キーボード入力になったとしたら・・・123456使いますか?

・・・そんなバカな!物理的な鍵がなくなるはずがない!

そうです。物理的な鍵はなくなりません。だから玄関の鍵が123456になることはない!

と言っても、玄関のドアを突破するのと、パスワードを突破されて「その先に入られること」は、何が違うのでしょうか?

家の中全部見られるのですよ。あんなものや、こんなものまで・・・、何かがなくなるかもしれません。盗聴器なんかの余計なものが増えているかもしれません。そんなの別にどうでもいいと思っているのならば、そもそも鍵は必要なく、誰でもフリーアクセスになります。誰でもには自分も含まれ、鍵を無くす心配も無用です。持ってないものは無くしようがないので、家に入れなくなることもありません。

ではパスワードを使うシステムやサービスの場合も、同じようにそうなのでしょうか?

今まで色々と見てきた経験からいえば、突破された先に「あるもの」は、個々のパスワードを管理する人にとって「たいして重要ではない」と思っているところでしょうね。

家の中のものと、パスワードの先にあるものは、違いますが「ビジネスマン」として、その重要性を再認識しなければなりません。

世の中これだけ情報化してきた時代のリスク管理としては、最低限のお約束であり、自己管理出来る唯一の砦になります。

預けている情報が漏れるなど、自分の管理が及ばない領域のものではありません。しかし、自己管理を放棄しているとしか言いようがありません。

②こんなパスワードしか作れない教育

パスワードの話をするときに必ず出てくる問題の1つです。理想的なパスワードのあり方と言われている「英数記号で8文字以上」とかありますが、実際の作り方のネタを知らなければ、理想的なあり方は、理想でしかありません。

パスワードの重要性を知る人たちにとっては、手動で作らず、パスワード管理ツールを使って30桁とか・・・そんなものを全員が使いこなせれば、こんなワーストランキングが出てくることはありません。

パスワードが必要な場面を考えれば、その用途によって管理体制も変わってきます。重要なサーバ等のパスワードは、全社の中でも「極一部」の人たちだけが知っていればいいだけなので、管理も適切に行われていると思っています。

しかし、全社員が利用するものになれば、①のような認識不足、意識の欠如・・・全体の強度は「鎖は一番弱い輪以上に強くなれない」と同じく、一番弱い部分の鎖が最大強度になってきます。

全体的な底上げをしなければ、強度は上がってきません。ワーストランキングに出てくるパスワードの利用者も、セキュリティを意識していない全社的な人たちにまで範囲は及んできます。

歴史の授業で習ったような「語呂合わせ」のような仕組みとか、人それぞれに感じる「感性」を文字に変えるなど、方法はいくらでもあります。パスワードの作り方50選のようなネタが必要です。

過去のパスワード関連の投稿:

ヤフーのパスワードと秘密の質問流出を機会に「改めて自分のパスを見直す方法」

パスワードの問題が多くあるのに、なぜ変えないのですか?

パスワードを忘れてしまった時の「秘密の質問」を誰にもわからない答えにする方法

パスワードの理想論を言われても、実務では役に立たないから、作り方を知るべし!

5点と4本の線で作る「Androidの指パスワード」強化法

専門的なパスワード管理を全員が出来ないことは、当たり前と考えなければなりません。どの企業であっても、それぞれの分野に専門家、専門職がいます。

例えば、住宅の場合、建てる人たちと、売る人たちは、専門領域が異なります。ITセキュリティならば、セキュリティのエンジニアと、マネジメント側で専門領域は違います。一般社員の方々とも違いますし、一般社員の方々も各専門領域において仕事をしています。

主体によって、立場や、考え方伝え方も変わってくるのですが、パスワードにおいては、どうもそうなってないような感じです。

次回のワーストランキングも大きな変化はないのかもしれませんが、まずは「できること」から考えるアプローチに変えてみてはどうでしょうか? ワーストにあるようなものは「使っちゃダメ!」ではなく、無限に作れる「自己流」の作り方を徹底的に知ることの視点から見てみることをお勧めします。

新倉 茂彦 2014/01/23 13:56:34 Comment(0)