- 目次 -
数時間で解読可能!?
みなさんも、PCを立ち上げる時など、さまざまな場面でパス ワードを設定していると思います。企業のITシステムでも、他人がアクセスできないようにログインパスワードを設定するのが常識です。
パスワード設定については、みなさんも一度は「安全なパスワードとは?」という話を耳にしたことがあるのではないでしょうか。そうです。大文字と小文字と 数字を混ぜて8文字以上、名前や誕生日はだめ、などというものです。
筆者も、『作法』に忠実に従ってパスワードを設定し て利用しています。そうすれば普通は破られない、と安心していました。ところがある日、その認識を改めざるをえないことになりました。
実は世の中には、パスワード強度を判定してくれるフリーソフトがいくつか出回っています。以前、興味本位でそのソフトを使って自分のパスワードの強度を判 定してみたのです。結果は、ショックなものでした。使っているパスワードのすべてが『24時間以内に解読可能』という判定だったのです…。
ここから少し専門的になりますが、この判定ソフトは『総当たり攻撃』というものを前提に解読時間を判定しています。つまり、文字・記号・数字のすべてのパ ターンをコンピュータ上で組み合わせて、ヒットするまで試行する、という手法です。実際はいつでもこの攻撃手法が使える環境とは限りませんが、これを自動 実行できるクラッキングツールはかなり前から出回っています。
一昔前までは、8文字もあれば総当たりで文字列を組み合わ せるのは大変でした。しかし最近のPCは性能が良く、こうした総当たり攻撃も手軽で現実的な話になってしまっているのです。 筆者も判定ソフトで少々研究してみましたが、どんなものでも長くて半年程度しかもたないという判定でした。
パスワードはいつか必ず破られる
最近、よくノートPCやUSBメモリを紛失したという事件を聞 きます。そうしたプレスリリースを読むと、「パスワード設定しデータを暗号化しており、漏洩の危険性は低いと考えています」というコメントを見かけること があります。
しかし、上記のようなパスワードの現状を見ると、こうしたコメントは必ずしも正しくないことが分かります。 PCやUSBメモリが物理的に他人の手に渡れば、『総当たり攻撃』が可能なわけですから。
つまり、 『パ スワードはいつか必ず破られる』 という認識を、もう持っていないといけない時代なのです。
大切なのは“複合的”に守ること
では、パスワードはもう無意味なのでしょうか?そんなことはあ りません。これからも基本中の基本です。問題は、パスワード『だけ』で守ろうとすることな のです。
例えば、銀行のATMなどは、パスワードを数回間違えると使えなくなります。こうした『パスワードの回数制限』は、総当たり攻撃 を防止するのに有効です。また、パスワードの有効期限を設定し強制変更を促すことも有効です。使う側にしてみれば面倒な話ですが、実はとても理にかなった ことなのです。
もう少し安全策を取るなら、その人しか持たない『持ち物』を使って行う認証を組み合わせることが有効で す。最近ATMでもよく見かける生体認証や、ICカードなどが該当します。
このように、パスワードだけでなく、システム 上で複数の認証手段、もしくは認証制限を用意しておくことが現実解と言えます。情報セキュリティの対策においては、パスワードに限らず、こうした複 合的防御の考え方が重要になるのです。何事もひとつだけの手段で防御するのは危険、と認識してください。
