【外国為替相場(仲値)】(基準時点:2024年10月09日18時00分)
米ドル 148.77円
ユーロ 163.02円
英ポンド 194.58円
スイスフラン 173.43円
パスワードは「複雑」より「長い」が重要、定期的な変更を義務付けてはならない勝村 幸博様記事抜粋<
「設定するパスワードには、大文字・小文字・数字・記号の全てを使ってください」「前回設定してから6カ月が経過したので、パスワードを変更してください」――。Webサービスの多くが要求するこれらのことは、一見セキュリティーの強化に役立つように思える。
だが実は、セキュリティーの強度を下げる恐れがある要求なのだ。パスワードの常識はここ数年で大きく変わっている。Webサービスや認証サービスなどを提供する事業者はもちろん、利用者も改めて確認しておきたい。
米政府機関向けガイドラインの新ドラフトが公開
パスワードに関するガイドラインは、世界中の組織や企業が公表している。その中で最も参照されているものの1つが、米国立標準技術研究所(NIST)の認証に関するガイドライン「NIST SP 800-63」である。
同ガイドラインは米連邦政府機関のシステムを対象としているものの、多くの国・地域及び企業が公開するガイドラインのベースになっている。
SP 800-63の初版が公開されたのは2006年。当初は「Electronic Authentication Guideline(電子認証に関するガイドライン)」という名称だった。その後版を重ね、2017年6月に公開された第3版で現在の名称である「Digital Identity Guidelines(デジタルIDガイドライン)」となった。
そして2022年12月、SP 800-63 第4版の最初のドラフトが公開され、一般からコメントを募集。NISTによると、140の組織や個人から約4000件のコメントが寄せられたという。それを反映した第2次ドラフトが2024年8月に公開された。
SP 800-63 第4版は「SP 800-63-4」「SP 800-63A」「SP 800-63B」「SP 800-63C」の4部で構成される。パスワードについてはSP 800-63Bで規定されている。第3版も同様である。
注意してほしいのは、SP 800-63は認証機能を提供するWebサービス事業者などに向けたガイドラインだということだ。基本的には利用者向けではない。例えば「利用者はどのようなパスワードを設定すればよいのか」といったことではなく、「事業者は認証機能をどのように実装すればよいのか」といったことが書かれている。
なぜ複雑なパスワードを要求してはいけないのか
パスワードによるユーザー認証機能を提供する事業者に対して、SP 800-63が要求することの1つは、「パスワードに対して他の構成ルール(例:異なる文字タイプの混合を要求する)を課してはならない」である。多くのWebサービスが要求する、大文字・小文字・数字・記号を組み合わせたパスワードはNGなのである。
異なる文字タイプを組み合わせればパスワードの候補が増えるので、強度が高まるように思える。だが、複雑なパスワードは必ずしも強力とは限らないとNISTは説明している。複雑さを要求された利用者は、極めて予測可能な方法で応じることが多いからだ。過去の研究で明らかにされているという。
例えば「password」をパスワードとして選ぶ可能性のある利用者は、大文字と数字を含めることを要求されると「Password1」を選ぶ可能性が高く、記号も要求されると「Password1!」を選ぶ可能性が高い。
このためパスワードとして使われる可能性が高い文字列(「password」や「123456」など)の派生形は、パスワード破り用の辞書に含まれていることが多いので、いわゆる「辞書攻撃」に弱い。
複雑なパスワードは、利用者が覚えにくいという欠点もある。このため誰の目にも留まる場所に書き留めたり、異なるWebサービス間で使い回したりするようになるという。
それでは、パスワードの強度はどうやって担保すればよいのか。SP 800-63では、パスワードの複雑さではなく「長さ」で担保するよう推奨している。パスワードを単語ではなく文章にするのだ。いわゆる「パスフレーズ」である。なおSP 800-63では、パスフレーズやPIN(暗証番号)もパスワードの一形態としている。
例えば「ホゲホゲ」サイトのログインパスワードには、「Watashi ha hogehoge ga daisuki desu.」といった文字列を設定する。文章にすれば、文字数が多くても利用者は覚えやすい。一方で総当たり攻撃(ブルートフォース攻撃)で解読されにくく、推測もされにくい。
ただしこのようなパスワードを設定できるようにするには、長い文字列を許容することと、スペースを使えるようにすることが不可欠だ。そのためSP 800-63には、以下の要件が記されている。
- パスワードの最小文字数を8文字以上とすることを必須とし、最小文字数を15文字以上とすることを推奨する
- 最大パスワード長を少なくとも64文字まで許可することを推奨する
- パスワードに全ての印刷可能なASCII文字及びスペース文字を受け入れることを推奨する
加えてSP 800-63では、「利用者は、妥当な範囲内でパスワードをできるだけ長くするよう推奨されるべきである」としている。パスワードがいくら長くても、保存する際にはハッシュ関数により固定長になる。このためストレージの観点からは、長いパスワードを許可しない理由はない。
しかしながら極端に長い場合(おそらくメガバイト単位の長さの場合)、ハッシュ関数の処理に過剰な時間を必要とする可能性があるため、適度な制限を設けるのが合理的だとしている。
「すべきではない」から「してはならない」に
パスワードは定期的に変更したほうがよいのか――。こちらも以前から議論が続いているテーマだが、SP 800-63では「利用者に定期的なパスワード変更を要求してはならない」と断言している。定期的に変更させることで、パスワードの強度が弱くなる可能性があるからだ。
渾身(こんしん)のパスワードをつくっても、一定期間後には変更しなければならない。新たなパスワードを考えるのはなかなかの手間だ。その結果、だんだん弱いパスワードを設定するようになっていく。
また、頻繁に変わるために覚えているのが難しくなり、複雑なパスワードと同様に書き留めたりするリスクが高まる。
ただし例外がある。パスワードが漏洩した場合である。「認証情報が侵害された兆候がある場合は、変更を強制することが必須」としている。
「異なる文字タイプの組み合わせを要求しない」と「定期的なパスワード変更を要求しない」については、SP 800-63 第3版にも記載されている。だがSP 800-63 第4版ドラフトでは、表現が変わっている。いずれについても、第3版では「すべきではない(should not)」という推奨だったのが、第4版ドラフトでは「してはならない(shall not)」と必須に変わっている。
Webサービスのシステムが対応していなければ、利用者がパスワードを長い文章にしたくてもできない。また、定期的に変更したくなくても、あるいは記号を入れたくなくても、Webサービスのシステムがそれらを義務付けていれば従うしかない。Webサービスの運営者は、パスワードのポリシーを見直す時期に来ている。
最後に、SP 800-63 第4版 第2次ドラフトに記載されたパスワードポリシーをリストアップする。これらについては、最初のドラフトから変わっていない。
- パスワードの最小文字数を8文字以上とすることを必須とし、最小文字数を15文字以上とすることを推奨する
- 最大パスワード長を少なくとも64文字まで許可することを推奨する
- パスワードに全ての印刷可能なASCII文字及びスペース文字を受け入れることを推奨する
- パスワードにUnicode文字を受け入れることを推奨する。パスワードの長さを評価する際には、各Unicodeコードポイントを1文字として数える
- パスワードに対してその他の構成ルール(例:異なる文字タイプの組み合わせを要求する)を課してはならない
- 利用者に定期的なパスワード変更を要求してはならない。ただし、認証情報が侵害された兆候がある場合は、変更を強制することが必須である
- 未認証の人がアクセスできるヒントを利用者が保存することを許可してはならない
- パスワードを選ぶ際に、知識ベースの認証やセキュリティー質問(例:「あなたの最初のペットの名前は?」)を使用するよう促してはならない
- 提出されたパスワード全体を検証する必要がある(すなわち、切り捨ててはいけない)
-
ノーベル化学賞にGoogle研究者ら たんぱく質解析用AI_日経様記事抜粋<
スウェーデン王立科学アカデミーは9日、2024年のノーベル化学賞を米グーグルの人工知能(AI)開発部門、グーグルディープマインドのデミス・ハサビス氏とジョン・ジャンパー氏、米ワシントン大学のデービッド・ベーカー教授に授与すると発表した。たんぱく質の立体構造の高精度な予測や新たなたんぱく質を人工的に設計できるAI技術を開発し、生命科学の研究や創薬に革新をもたらした功績が評価された。
授賞理由はハサ...
{20:11警察tel終えたが 10/21㈪私が保土ヶ谷警察署11h書類作成後 岩井町現場検証=計何時間もかかる+私を現場までパトカー輸送なし話}然も もう一度 伺う必要有=その後 再度、、