パスワードは何ビットの強度で暗記すべきか? - ITコンサルティング - 専門家プロファイル

専門家の皆様へ 専門家プロファイルでは、さまざまなジャンルの専門家を募集しています。
出展をご検討の方はお気軽にご請求ください。

注目のQ&AランキングRSS

対象:ITコンサルティング

パスワードは何ビットの強度で暗記すべきか?

法人・ビジネス ITコンサルティング 2011/07/12 19:16

お世話になっております。以前から先生方にパスワードや暗号の運用を相談させていただいております。今回も例によってその手の相談です。

さて、世に普及しているパスワード運用のガイドラインに、
A: 堅牢なパスワードを作りましょう。
B: パスワードは記録してはいけません。(暗記しろ)
という相矛盾するものがあります。さすがに暗記できる程度のパスワードでは総当り攻撃に耐えられません。

そこであえてこの矛盾を認めるとして、先生は御自身で何ビットの強度のパスワードを暗記して運用していますか?また、そのビットの強度で総当り攻撃に堅牢だと考えますか?さらに、妥当な暗記すべきビット数はいくつですか?


参考までに128ビットの強度のパスワードを例示します。さすがにこれほどのパスワードとなると暗記を試みるのは逆に危険を伴います。
x_WOf)ANj<U8dx[Pv1y}T

Moriya, Tomoさん ( 東京都 / 男性 / 32歳 )

回答:1件

井上 みやび子

井上 みやび子
Webエンジニア

3 good

パスワードを暗記しなくてもいい方法を考えるのはいかがですか

2011/07/13 01:57 詳細リンク

どんな情報を守るかに寄りますが、個人的には国家秘密や人命にかかわるような事を守っていないので、その点ご承知下さい。(笑)

すぐ使える株式会社の井上と申します。

パスワードの運用は面倒ですよね。分かります。

私の運用方法をご案内すると、実は、暗記していません。
どこで使っているかを書かずに、別のノートにパスワードを設定した日付と、パスワードそのものや、特定の文字だけを伏字にしたり、自分だけに分かる「秘密の質問」の形式で書いておきます。

どのようなパスワードにするかという事については、ランダムな文字の組み合わせの短い(8文字など)パスワードよりは、ある程度覚えやすい言葉や名前などを含む長いパスワードにしています。ただし、後者はログイン先システムが長いものを許可している場合ですが。

辞書にあるような言葉を使う場合は、
・大文字小文字を混ぜる
・複数言語のつづりを使う
・アルファベットのオーを数字のゼロ、エルをイチに読み替える
などの変換をしています。

自分でシステムを開発する際のパスワードの設定は(繰り返しますが、あまりクリティカルでない Web アプリケーションです)、お客様から特に指定やシステム上の制約がない限り
・桁を固定しない
・長目の文字数まで許可する
・記号や数字の混合を必須にしない
としています。

覚えにくいパスワードをパソコンに貼られてしまったりずっと使い続けられるより、適当に覚えやすいものをどんどん変えて使って頂いた方がいいと考えているためです。

また、ユーザが覚えずどんどん再発行をしてもらう前提で、システムで指定したランダム文字列をだけを使う、という方式にする場合もあります。このような場合、割合頻繁に再発行リクエストがあります。


「攻撃に堅牢だと思うか」については、狙い撃ちで攻撃されたらひとたまりもないものもあるだろうな、というのが正直なところですが、パスワードの強度自体よりは頻繁に変えるという事の方が業務システムのパスワード管理には重要だと考えています。

補足

日常の運用をする場合の一つの考え方ですが、以前に同様のテーマを扱ったコラムがありますので、ご参照下さい。
(今読むとちょっと運用方針が変わっていますが。)

「パスワードの決め方」
http://profile.allabout.co.jp/w/c-16591/

「Web システム開発時の一般的なセキュリティ対策(2)」
http://profile.allabout.co.jp/w/c-45263/

システム
運用

質問やお悩みは解決しましたか?解決していなければ...

※あなたの疑問に専門家が回答します。質問の投稿と閲覧は全て無料です。

(現在のポイント:1pt このQ&Aは、役に立った!

このQ&Aに類似したQ&A

自社サーバーかレンタルか ruukuさん  2009-07-28 12:11 回答5件
受注管理ソフト、今後の運営について xxzeroさん  2009-06-14 20:31 回答9件
機能要望やバグ報告の有効な管理方法は? 専門家プロファイルさん  2008-03-28 14:01 回答4件
ショピングサイト導入及びASP選定 たっつんさん  2007-11-28 01:30 回答5件
バイリンガルIT技術者をアウトソースする会社 ピーカンパイさん  2007-08-22 15:40 回答6件
専門家に質問する

タイトル必須

(全角30文字)

質問内容必須

(全角1000文字)

カテゴリ必須

ご注意ください

[1]この内容はサイト上に公開されます。

  • ご質問の内容は、回答がついた時点でサイト上に公開されます。
  • 個人や企業を特定できる情報や、他人の権利を侵害するような情報は記載しないでください。

[2]質問には回答がつかないことがあります。

  • 質問の内容や専門家の状況により、回答に時間がかかる場合があります。
気になるキーワードを入力して、必要な情報を検索してください。

表示中のコンテンツに関連する専門家サービスランキング

西野 公啓

株式会社ニシノ・アイティ・オフィス

西野 公啓

(ITコンサルタント)

田中 紳詞

株式会社Exciter

田中 紳詞

(経営コンサルタント/ITコンサルタント)

田中 紳詞

株式会社Exciter

田中 紳詞

(経営コンサルタント/ITコンサルタント)