インフラセキュリティの処方箋

第37回2017年8月~見直されるパスワード規則~特殊文字も変更間隔も規定しない現在の標準

筆者もよく忘れ、そのたびにリセットのお世話になる「パスワード」ですが、多くの人は「大文字小文字記号数字を混ぜて、定期変更して」と言われていたことと思います。しかしその(複雑怪奇な)パスワードに対する規則を著した当人から「あれは間違いだった」という発言が出ています。

まったくもって他人事ではないと感じ、今月はこの話を説明していくこととします。

パスワード規則のおおもとは、2003年に作成されたNIST SP800-63 Appendix A

米国の標準化機関である NIST(National Institute of Standarts and Technology/国立標準技術研究所)は、標準に関する多くの文書を公開しています。SP800-63は、電子認証のガイドライン(Electronic Authentications Guideline)なのですが、SP800-63が公開されてから2017年6月22日に有効期限が終了したSP800-63-2「まで」は、Appendix Aに、パスワード規則に関する記述が掲載されておりました。これが悪名(?)高い「複雑なパスワード」の原典となります。

NIST SP800-63 Version 1.0.2 電子認証に関するガイドライン
Appendix Aに、パスワード規則に関する記述があります
NIST SP800-63-2
Appendix Aに、パスワード規則に関する記述があります

SP800-63-3でなくなった「パスワード規則」に関する記述

現時点の最新版はSP800-63-3であり、名称も"Digital Identity Guideline"に変更されています。この版では、前のバージョンまで掲載されていた「パスワード規則」に関する記述がそっくりなくなっています。

SP800-63-2までを手掛けた一人のWilliam E. Burr氏は、パスワード規則について「実は失敗だった」と述懐しており、SP800-63-3はその部分を改善したものともいえそうです。

今守るべきパスワード規則の指針は?

現在の計算機の演算能力とNISTの文章を考慮するならば、パスワード規則は以下の2つに集約されそうです。ただしこれは、パスワードに関するシステム上の制約がない場合の話であり、現実には文字数の上限や、多くの種類の文字をパスワードに使用するなどの制約を課せられることがあるため、こういった原則に寄せるのには時間がかかりそうです。

  • 記号を無理に使うよりは、覚えやすく「長い」こと
  • パスワード変更は「盗難など、第三者に使われた可能性を認識した」とき

ただ、複数のサービスでIDが(メールアドレスを使うなどで)同じことがあり、かつ使っているパスワードが同じだと、1つ破られるとあっちもこっちもということになるため、あと1つ条件を加えるならば、

  • サービスごとにパスワードを変える

というのは必要になるでしょう。

なお、個人的には、⁠覚えやすければいいので、無理やり記号を使わないようにしなくてもいいのでは」とも思います。

ちょっと計算~アスキー文字で大文字小文字数字記号を入れた場合の組み合わせ数と長い文章っぽいものを英単語で作るような想定の組み合わせ数

アスキー文字で大文字小文字数字記号(94文字(空白文字を除く⁠⁠)を2文字組み合わせた場合、8836通りの組み合わせを取りえます。

一方で、記号を用いない場合(空白文字を含めた場合63文字⁠⁠、2文字だと3969通りとなりますが、3文字組み合わせた場合は約25万通りとなります。

記号ありで覚えにくい2文字よりも、比較的覚えやすそうな3文字のほうが組み合わせの数は大きくなります。

2文字とか3文字はさすがに短すぎですが、アスキー文字で大文字小文字数字記号を入れて無理やり8文字作り出すよりも、記号を入れず空白も含めた形で9文字もしくは覚えやすいそれ以上の文字数のほうが、当然組み合わせ数は大きくなります。

筆者はパスワードを専門に研究しているわけではありませんが、組み合わせ数の観点からも(記号を無理やり入れるよりは)長くしたほうが破りにくそうです。

おすすめ記事

記事・ニュース一覧