対象:ITコンサルティング
回答数: 4件
回答数: 5件
回答数: 6件
お世話になっております。以前から先生方にパスワードや暗号の運用を相談させていただいております。今回も例によってその手の相談です。
さて、世に普及しているパスワード運用のガイドラインに、
A: 堅牢なパスワードを作りましょう。
B: パスワードは記録してはいけません。(暗記しろ)
という相矛盾するものがあります。さすがに暗記できる程度のパスワードでは総当り攻撃に耐えられません。
そこであえてこの矛盾を認めるとして、先生は御自身で何ビットの強度のパスワードを暗記して運用していますか?また、そのビットの強度で総当り攻撃に堅牢だと考えますか?さらに、妥当な暗記すべきビット数はいくつですか?
参考までに128ビットの強度のパスワードを例示します。さすがにこれほどのパスワードとなると暗記を試みるのは逆に危険を伴います。
x_WOf)ANj<U8dx[Pv1y}T
Moriya, Tomoさん ( 東京都 / 男性 / 32歳 )
回答:1件
井上 みやび子
Webエンジニア
3
パスワードを暗記しなくてもいい方法を考えるのはいかがですか
どんな情報を守るかに寄りますが、個人的には国家秘密や人命にかかわるような事を守っていないので、その点ご承知下さい。(笑)
すぐ使える株式会社の井上と申します。
パスワードの運用は面倒ですよね。分かります。
私の運用方法をご案内すると、実は、暗記していません。
どこで使っているかを書かずに、別のノートにパスワードを設定した日付と、パスワードそのものや、特定の文字だけを伏字にしたり、自分だけに分かる「秘密の質問」の形式で書いておきます。
どのようなパスワードにするかという事については、ランダムな文字の組み合わせの短い(8文字など)パスワードよりは、ある程度覚えやすい言葉や名前などを含む長いパスワードにしています。ただし、後者はログイン先システムが長いものを許可している場合ですが。
辞書にあるような言葉を使う場合は、
・大文字小文字を混ぜる
・複数言語のつづりを使う
・アルファベットのオーを数字のゼロ、エルをイチに読み替える
などの変換をしています。
自分でシステムを開発する際のパスワードの設定は(繰り返しますが、あまりクリティカルでない Web アプリケーションです)、お客様から特に指定やシステム上の制約がない限り
・桁を固定しない
・長目の文字数まで許可する
・記号や数字の混合を必須にしない
としています。
覚えにくいパスワードをパソコンに貼られてしまったりずっと使い続けられるより、適当に覚えやすいものをどんどん変えて使って頂いた方がいいと考えているためです。
また、ユーザが覚えずどんどん再発行をしてもらう前提で、システムで指定したランダム文字列をだけを使う、という方式にする場合もあります。このような場合、割合頻繁に再発行リクエストがあります。
「攻撃に堅牢だと思うか」については、狙い撃ちで攻撃されたらひとたまりもないものもあるだろうな、というのが正直なところですが、パスワードの強度自体よりは頻繁に変えるという事の方が業務システムのパスワード管理には重要だと考えています。
補足
日常の運用をする場合の一つの考え方ですが、以前に同様のテーマを扱ったコラムがありますので、ご参照下さい。
(今読むとちょっと運用方針が変わっていますが。)
「パスワードの決め方」
http://profile.allabout.co.jp/w/c-16591/
「Web システム開発時の一般的なセキュリティ対策(2)」
http://profile.allabout.co.jp/w/c-45263/
(現在のポイント:1pt)
このQ&Aに類似したQ&A
表示中のコンテンツに関連する専門家サービスランキング