サイクリングに関する内容はHiloker.netに移動しました。(古いものは、Hiroのサイクリング&写真記録庫)
よろしければどうぞ。
安全なパスワードなんて存在しない? [IT関連の話題]
今日はAFPBBのニュース「「パスワード疲れ」に苦しむネットユーザー」が出ていました。それに関連した話をしてみたいと思います。
このニュースによると安全なパスワードなんかないって話をしています。で、いくつものサイトやサービスを利用するごとにいくつものパスワードを設定することに「疲れている」との話をしています。結果として複雑なパスワードを設定しない傾向が出てきてしまい、問題となっているとのことでした。今後はバイオメトリクス認証などの生体認証が普及するとの内容でした。
ここではちょっと話題を変えて、パスワードを破りにくくする仕組み、取り組みについて少し触れていきます。
なぜ本人確認をパスワードで行うのか?
AFPBBによると、英数字を混在させた長い文字列のパスワードを使ってさえ、昨今の不正侵入などによる情報漏えいの前には無力という話をしています。さて、パスワードの仕組みはなぜ、今まで使われているのでしょうか?
本当に端的な答えとして、簡単だからというのが挙げられます。IDとパスワードの組み合わせがあっていれば、本人と確認するというのはとても簡単です。特別な仕組みもいりませんし、費用もかかりません。
では、パスワードというのは、どの程度本人確認として有効なのでしょうか?皆さんの銀行のカードやユーザIDって数けたの文字列ですよね。また、暗証番号は通常4ケタの数字、これがベースになります。
カードのIDを仮にAAAA-AAAA-AAAA-AAAAとして、この人の暗証番号を解析するにはためには、10000回暗証番号を試してみればいいわけです。これで、一致してしまうとこのカードの持ち主であるとシステムは認識してしまいます。
実際のID、パスワードについては、文字列の長さや種類などを増やすことで難しくはしていますが、悪意を持った人にかかれば、コンピュータを使って総当たりでパスワードを解析することなどもできるため、時間があれば極論すべてのパスワードは解析することが可能なんです。
パスワードを破られないようにするためには?
ということで、パスワードを破られないようにするためには、以下のポイントが必要になるわけです。
- 第3者には予想されない複雑なパスワード
- 定期的なパスワードの変更
こうすることで、パスワードを破ることを困難にすることが出来ます。ただ、これってとても大変です。いくつものパスワードを持ってしまうと、それぞれごとに複雑なパスワードをいれたり、変更したりしなければなりませんし、メモをとったりするのもパスワード管理上は好ましくないため覚えることが必要になります。
これってやってみるとわかるのですが、正直やってられません。ということで、前回紹介したようなパスワード管理ツールのようなものを使うなどの方法で、パスワード管理を少しでも簡単にすることが必要になってきます。
とはいってもパスワードが漏えいしてしまっては元も子もありません。
では、どのようにすればいいのでしょうか?
パスワード方式の強化
パスワードの認証の仕組みを強化することが考えられます。ここでは、Googleで使われている2段階認証方式と、ワンタイムパスワードについて紹介します。
2段階認証方式
2段階証方式とは人の認証をID,パスワードで行い、使っている機器の認証を別に行うということです。まず最初に機器の登録を行い、その機器から入力したID,パスワードが正しい場合に本人と認めるということです。
簡単な図にしてみました。2段階認証方式の場合は、たとえID,パスワードが分かってしまっても登録された機器からログインしないと本人とは認証しないということになります。
これによって、たとえパスワードを不正に取得したとしても同じ機器からログインしない限りは本人とは認識されないため、本人になり済ましてシステムを利用することが出来ないことになります。
ワンタイムパスワード方式
では、もうひとつのワンタイムパスワード方式ですが、これは利用者がパスワードトークンという機器を持っておきます。ログイン時にはパスワードトークンに表示されたパスワードを入力するという方式です。
トークンにはランダムな文字・数字の羅列が表示されていて、表示されたパスワードを入力することで、本人であることを認証することが出来ます。
これがパスワードトークンです。今はゲームのアカウントでも使われ始めているんですね。私も始めて知りました。
オンラインゲーム用ワンタイムパスワードトークン 「BRUCE KEY」ブルースキー
- 出版社/メーカー: 飛天ジャパン株式会社
- メディア: エレクトロニクス
このパスワードトークンのボタンを押すことによって、表示されているパスワードが変更されます。このパスワードを入力することによって、本人であることを確認することが出来るわけです。
このパスワードトークンを使うことでパスワードを覚える必要がなくなるわけですが、パスワードトークンをなくさないようにしなければいけません。パスワードトークンを紛失してしまうと漏えいと同じようなことになってしまいます。
ちなみにYahooでは、パスワードトークンの機能をスマホアプリとして実現しています。こうすることで、ログイン時にスマホに表示されたパスワードを入力すれば、ログインが出来るようになります。
さいごに
ここに上がっている方式や、AFPBBにあったようなバイオメトリクス認証(指紋認証、静脈認証、光彩認証などの生体認証)が広まってくれば、今までのようなパスワード認証と比較するとはるかに強度の高い認証が出来るようになるでしょう。
しかしながら、現在はまだパスワードのみの認証というのはまだまだ多く、そこには問題が多い実情を考えた場合、当面は複雑なパスワードと定期的なパスワード変更という、しんどいことを続けていかなくてはならなそうです。
まだまだ、コンピュータシステムが人を見分けられるようになる日が来るには時間がかかりそうですね。
(参考)
「パスワード疲れ」に苦しむネットユーザー 写真2枚 国際ニュース : AFPBB News
【6月29日 AFP】安全なパスワードを探しているなら、「HQbgbiZVu9AWcqoSZmChwgtMYTrM7HE3ObVWGepMeOsJf4iHMyNXMT1BrySA4d7」を試してみては ...
ワンタイムパスワード(OTP) - Yahoo! JAPAN IDガイド
ワンタイムパスワードは、あなたの大切なIDを不正利用から強力に守るセキュリティー機能です。 ワンタイムパスワードを利用すると、いつもの「Yahoo! JAPAN IDとパスワード」でのログイン後に「 ...
(関連ページ)
皆さんパスワードってどんなふうに管理していますか?最近はYahooやEvernoteなどでもパスワードを狙ったハッキングなどがあって、パスワードの管理が大変になっていますよね。 ...
Twitterでユーザ名、パスワードが大量流出:眠りたいSEの眠れないブログ:So-netブログ
ツイッター(Twitter)は8日、同サービスのユーザー名とパスワード約3万5000件が、インターネット上のテキスト共有サイトに流出し、経緯について調査中だとのこと。 とうとう、 ...
IDやPWの管理って大変です。。。(@w@;))
by 獏 (2013-06-30 07:26)
>獏さん
コメントありがとうございます。
ほんとに面倒ですよね。
そろそろ変えないとなんですけど、いくつあったっけって思うと気が重いです。
by hiro (2013-06-30 07:48)
今晩は。
なかなか変えるのが面倒なもので…
by 夏炉冬扇 (2013-06-30 22:02)
> 夏炉冬扇さん
こんばんは。コメントありがとうございます。
パスワードは変えないで済めばそうしたいですよね。
会社で使っているパソコンは指紋で認証できるんですけど
これはとても便利です。
指でセンサーをなぞるとログインできます。
by hiro (2013-06-30 23:15)