パスワードは、アリパパの「ひらけゴマ!」や「山」に「川」のように、従来から利用されている認証方法で、セキュリティの基本といえます。現代に生きる私たちはパスワードを日常的に利用していますが、あまりに日常的でそのありがたさを忘れがちです。パスワードの基本と重要性についてを再確認しましょう。
どのようなパスワードがいいか?
では、どのようなパスワードがよいのでしょうか。ポイントは2つです。類推されやすいパスワードの使用禁止と、定期的なパスワードの変更です。類推されにくい強力なパスワードとは、具体的にはパスワード長は最低でも7文字以上で、英数字とその他の記号文字(?や@のような特殊文字)を含むものです。
氏名、電話番号、生年月日、アカウント、辞書に載っている単語などの推測が容易なパスワードは使ってはいけません。もし、簡単に推測できる弱いパスワードを使っていれば、数分から数時間で破られてしまいます。定期的にパスワードを変更することも重要です。
どんなに強力なパスワードを使っていても、永遠に安全という保証はありません。長期にわたり同じパスワードを使い続けることは避けましょう。いうまでもありませんが、過去に一度でも使ったことのあるパスワードを使ったり、デフォルトのパスワードを使い続けたり、パスワードを他人に教えたり、パスワードを書きつけた付箋をディスプレイに貼りつけたりしてはいけません。
パスワードを入力しているところを他人にのぞかれないようにし、万一他人に知られたら、すぐにパスワードを変更してください。なお、最近はワンタイムパスワードと呼ばれる技術が提供されていますので、予算が許せばワンタイムパスワードの導入も検討しましょう。
どのようにシステムを運用するか
パスワードをシステム側からみると、まずパスワードの存在が最初にあり、入力された文字列とシステムに登録してあるパスワードとを「比較」し、そのパスワードを知っている者が正当なユーザーであると判断します。
正当なユーザーだけが、パスワードを知っているという前提に基づいています。システムを運用する際に最も重要なことは、パスワードファイルの暗号化です。安全性の高いシステムは、パスワードそのものを保管しているのではなく、一方向性ハッシュ関数と呼ばれる関数を使い、オリジナルのパスワードを変換して保管します。パスワードを認証する時には、入力されたパスワードに一方向性ハッシュ関数の処理を行い、その値をシステムに保管している変換済みパスワードと比較します。
また、パスワードを登録する時点でパスワード長や文字種を判定し、弱いパスワードの入力を制限する必要があります。最近の認証システムには、弱いパスワードを受け付けなかったり、システム管理者から新規ユーザーに与えられるデフォルトのパスワードは、最初のパスワード入力時にのみ使用できるように制限しているものも増えてきています。さらに、パスワードのエラー回数を制限したり、パスワードに有効期限を設けることにより、より強力な認証システムを構築することができます。最近は、長い文を受け付けるパスワードシステムもあります。このようなシステムでは、語(ワード)ではなくフレーズ(言い回し)を入力するため、パスワードと呼ばす、パスフレーズと呼ばれています。パスワードの安全性は、ユーザーの意識にかかっています。パスワードの利用は、認証システムのコスト負担が少ないというメリットがある分、ユーザーの意識や資質に安全性が左右されるデメリットがあります。
また、パスワードを登録する時点でパスワード長や文字種を判定し、弱いパスワードの入力を制限する必要があります。最近の認証システムには、弱いパスワードを受け付けなかったり、システム管理者から新規ユーザーに与えられるデフォルトのパスワードは、最初のパスワード入力時にのみ使用できるように制限しているものも増えてきています。
さらに、パスワードのエラー回数を制限したり、パスワードに有効期限を設けることにより、より強力な認証システムを構築することができます。最近は、長い文を受け付けるパスワードシステムもあります。このようなシステムでは、語(ワード)ではなくフレーズ(言い回し)を入力するため、パスワードと呼ばす、パスフレーズと呼ばれています。パスワードの安全性は、ユーザーの意識にかかっています。パスワードの利用は、認証システムのコスト負担が少ないというメリットがある分、ユーザーの意識や資質に安全性が左右されるデメリットがあります。
コメント