最近パスワードに関する記事を二つ読んで、なんとなく水分補給の話を連想した。
「部活中は水を飲むな!」といった根拠のない根性論の世界から、「熱中症予防のため、水分補給を!」という安全を考慮に入れた180度の方針転換は、デジタルな情報セキュリティの分野にもあり得るようだ。私は推奨事例が変わったことを非難しているわけではない。パスワードの設定方法が一歩進んで、人間の心理的・習慣的行動も踏まえるようになったということだろう。
記事の一つはこれ。
(A) 総務省 国民のための情報セキュリティサイト
もう一つはこれ。
(B) 日経(クロステック)記事 記号は不要 推奨するパスワード、方針転換の理由
こちらはJPCERT/CCのコラムが元ネタになっている。
(A)はパスワードの更新頻度に関する推奨で、米国 NIST (National Institute of Standards and Technology) のガイドラインがそのオリジナルだ。パスワードを定期的に変更するアップサイドより、「定期的な変更を要求することで、パスワードの作り方がワンパターン化し簡単なものになることや、使い回しするようになることの方が問題とな」るというのが最新の見解のようだ。NISTのガイドラインにも Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) という文言がある。memorized secretsとはパスワードの意味で、ログインの管理者側は、パスワードを変えることを強制すべきではない、と言っている。ゆえに、破られない限り、パスワードは変更しなくてよい。破られたら(他のパスワードに影響が無いよう)即変更する、というのが良い対応のようだ。この見解が出るのと前後して、実際にいくつかのWebサイトではパスワードの変更を求められなくなったような印象を受ける。
(B)はパスワードの複雑性に関する記事で、文字の種類がたくさんあって短いものよりは、種類が少なくても長いものが良い、と述べている。これもNISTのガイドラインに沿っていて、NISTには Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets. とある。これは単に組合せの数の問題だろう。
一般的に半角で使える記号は、スペースも含めて33種類 (space) ` ~ ! @ # $ % ^ & * ( ) - = _ + [ ] { } ; ' \ : " | , . / < > ?
このうち、通常記号で使えるのは経験上半分くらい、16種類だと考える。全部が使えないのは、例えばスペースは省略されてしまうとか、*(アスタリスク) や %(パーセント)はワイルドカードと区別ができないとか、+(プラス)や -(マイナス)は文字列の連結コマンドになってしまうとか、( )、;(セミコロン)はデータベース処理でコマンドの一部になってしまうとか、キーボードによっては出ないものがあるとか、そういう理由だと思われる。
小文字が26種類、大文字が26種類、数字が10種類の場合、パスワード1文字につき62通り。
小文字が26種類、大文字が26種類、数字が10種類、記号が16種類の場合、パスワード1文字につき78通り。
本当は必ず大文字がないとダメとか数字がないとダメという制約が入るので、もっと少ないが、記号なしの12文字と記号ありの8文字を単純比較した場合、
前者は6212 ≃ 3.2 x 1021 通り = 32 垓通り = 320,000 京通り。
後者は788 ≃ 1.4 x 1015 通り = 0.14 京通り。
その差約230万倍、つまり総当たり法でパスワードを破るのに、パスワードを4桁長くすれば230万倍時間がかかる、ということだ。記号が全部使えたとしても、1文字につき95通りなので、8文字であれば 958 ≃ 6.6 x 1015 通り = 0.66京通りで、230万倍が約50万倍にしか縮まらない。
長いパスワード、恐るべし。
※コメント投稿者のブログIDはブログ作成者のみに通知されます