「パスワードポリシー」を考える

パスワードポリシーとは

パスワードポリシーとは、ユーザーアカウントのパスワードに使用できる文字数や、文字の組み合わせ、複雑さなどの条件のことです。

Webサイト上で会員登録を行うとき、「パスワードは8文字以上、半角英数字を混在させてください」等の指定がありますが、パスワードポリシーをしっかりと設定することで、他人からパスワードを推測されにくくなり、不正アクセス予防に大きく役立ちます。

パスワードの必要性

過去20年間でユーザー認証の方法が進歩したとはいえ、オンラインアクセスにパスワードが不可欠であることに変わりはなく、近い将来にパスワードを別の認証方法に置き換えることは不可能であると考えられます。よって、パスワードポリシーは今現在も適切に設定されている必要があります。

適切なパスワードポリシー

パスワードポリシーはどのように条件設定を行うのが適切なのでしょうか。

現在、IPA(独立行政法人 情報処理推進機構)は「できるだけ長く」「複雑で」「使い回さない」の3点を安全なパスワードのポイントとしており、8桁、10桁などと桁数は指定していません。
「複雑」というのは、英数字・記号・桁数が多いといった要素を組み合わせることを意味しています。文字列を複雑にすることにより、悪意ある攻撃者が早期にパスワードを解読して見破る時間をさらに長くすることができます。

パスワードの解読時間を調べることができるHOW SECURE IS MY PASSWORDといったサイトがあります。このサイトによりランダムな文字列によるパスワードの解読時間を調べた結果は以下の通りです。パスワードの総当たり攻撃を仕掛けられた場合、どれぐらいの解読時間を要するかといった目安となります。

桁数 6桁 8桁 10桁 12桁 14桁
アルファベット 400ミリ秒 22分 1ヶ月 300年 80万年
アルファベット+数字 1秒 1時間 7か月 2000年 900万年
アルファベット+数字 +記号 19秒 2日 52年 40万年 40億年

※アルファベットは、大文字+小文字を混合している場合です。

この結果を見ると、10~12桁+英数字+記号のパスワードがある程度安全かつ適切といえるのではないでしょうか。8桁では記号まで入れないと、心もとない結果となっています。

これに加えて、自分の生年月日・電話番号といった自分に関係のある数字を使ったり、単語として成立するような文字列を使うことは避けましょう。

定期的なパスワードの変更は不要

かつては、不正アクセス対策にパスワードの定期的な変更を要求する考え方が広く推奨されていました。

しかし、パスワードの定期変更は利便性の低下とともに、変更しても覚えられる簡単なパスワードを設定することや、パスワードの使い回しをすることの助長になってしまうため、望ましいとはいえません。ある程度複雑なパスワードが設定されていれば、パスワードが流出しない限り変更する必要はないと考えられます。

総務省のサイトにも以下の内容が記載されています。

これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです。
また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています。

ただし、不正なアクセス(身に覚えの無いログインの成功等)を検知した場合は、当然ながら即時にパスワードを変更するようにしましょう。

まとめ

安易なパスワードは外部の攻撃者から見破られやすくなります。実際パスワードが単純だったために不正アクセスにつながったという事例が多くあるように、パスワードポリシーを詳細に作成し、ある程度複雑なパスワードを設定することは、セキュリティ対策において効果的です。

しかし、複雑すぎるパスワードの場合、メモ行為の助長や利便性の低下につながることもあります。また、多数のクラウドサービスやITツールを横断して使うようになった昨今、各システムで個別に複雑なパスワードを利用することは現実的ではありません。

そのため、パスワードポリシーで基準を設定するだけでなく、SSOなどで認証行為を集約する「集中管理」もあわせて行うことが重要といえるでしょう。

参考文献

安全なパスワード管理(総務省の情報セキュリティサイト)
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

パスワード管理ポリシーとは?対策・設定のポイントを徹底解説
https://www.hitachi-solutions.co.jp/okta/sp/column/idaas-password-policy/

Digital Identity Guidelines
https://openid-foundation-japan.github.io/800-63-3-final/sp800-63b.ja.html

今までの常識は通用しない?安全なパスワードの桁数などの条件とは
https://www.lrm.jp/security_magazine/secure_password/