こんにちは。

もともと顔を覚えるのが苦手なんですが最近みんなマスクしていて、初めて会う人はもう誰が誰だかわかってないケバブ人です。
（多分次あっても初めましてな感じになると思います）

さて、今回はパスワードについて書いてみます。
つい最近までパスワードについては一般的に
・大文字小文字数字記号組み合わせる
・8桁以上
・定期的に変更

という要件が言われてきましたが、2017年にアメリカの技術研究組織であるNISTから「パスワードの定期変更は不要で流出が確認された場合のみ変更」という（連邦政府機関向けの）ガイドラインが出て一部で話題となりました。

それに合わせて2018年に日本の内閣セキュリティ部門であるNISCからも同様のガイドライン変更がありました。

ちなみにNISTの資料では、（システム側で危険なパスワードを弾いた上で）パスワードは8桁以上で複雑性は課すべきではない。すべて数字でもよい。といった内容となっていますが、NISCのガイドラインはそこは追従してないようです（笑）

8桁で数字のみって、00000000の様な単純なパスワードを弾いたとしてもめちゃくちゃ弱そうですね！一瞬で解析されてしまうんじゃないでしょうか（笑）

ああ、システムは一定回数でロックアウトすべしとも書いてあるからそこで担保するのかな。確かに総当たりができないなら複雑性はなくてもいいような気がしますね。システム側の実装に左右されてしまいますが。

NISTガイドラインには他にもシステム側として、最大64桁を受け付けること、パスフレーズのためにスペース文字を受け付けること、「秘密の質問」は使うべきではないこと、パスワード管理ツールを想定してペーストを受け付けること、といったことなど必須/推奨事項が様々記載されています。

秘密の質問については以前から危険性が言われていて、秘密の質問には結局ランダムなパスワードを設定していてただただ面倒なだけだった方もいると思います。ペースト受け付けはありがたいですね。私は以前からパスワード管理ツールを使っていますが、ペーストが禁止されていて長いパスワードを手打ちさせられてイライラするサービスがたまにありました。

弊社でも今後パスワードを受け付けるシステムを構築する際にはこのあたりのことを考慮した仕様を考えたいですね。

そして今年2月、FBIからもパスワードについて言及があり、そこでは
・覚えにくい複雑さなパスワードよりも覚えやすい長いパスワード、15文字以上
と推奨されています。

とにかく、複雑性を求められるが故に紙に書いたり使いまわしたりするということを防ぐのが、NISTやFBIの言いたいことのようですね。そして長ければ十分セキュアであると。

ちなみにFBIはNISTとは異なり「（サービス拒否攻撃を防ぐため）ロックアウトは行うべきではない」と言っています。ここでいうサービス拒否攻撃は、パスワード解析を総当たりでされた場合に、大量のアカウントがロックされて正常な運用ができなくなることを指していると思われますが、でも何も対処しないと総当たりされてしまいますね。

ITの進化に合わせて数年おきにパスワード強度を上げていくか、20年先を見据えたパスワード強度にするならロックアウトは不要かもですが、そうではなくロックアウトを一定期間で解除したり、総当たり攻撃をされたらそのIPのアクセスを防ぐなどの方が現実的かもですね。大量の踏み台PCからの分散型サービス拒否攻撃をされるのであればもう、その時点での十分なパスワード強度を維持した上で、ロックアウトを行わない、という判断も必要かもしれませんが。

・・・話を戻して、総合して私は近年あるべきパスワードについてこう考えました。

手入力が必要なPCログイン等のパスワードについては
・15文字以上
・覚えやすいパスワードもしくはパスフレーズ
・複雑性は大文字小文字記号の中から2種類以上組みあわせる

パスワード管理ツールが利用できるPCログイン後に必要なパスワードについては
・15文字以上
・大文字小文字数字記号組み合わせる

なんていうのはどうでしょうか。

ちなみに解析時間は15文字数字のみだと6時間、英小文字のみだと1000年だそうです。PCログインパスワードはインターネット上で入力するわけでもないので、仮にロックアウト機能がなくても複雑性２種類組み合わせれば当面大丈夫そうな気がしますね。

そうは言っても、インターネットサービスはまだまだ文字数8桁までというのも全然あります。記号受け付けてないなんて当たり前。案外お金が絡むサービスほど桁数が短く記号が入力できないような・・・早く最近の事情に合わせたサービスが増えると嬉しいんですが。


以上、パスワードについてでした。