2017年2月2日

2017年2月2日

2017年2月2日(木)

パスワード(PW)は個人で管理できるか? ~その一筋の光明とは?~

 一般社団法人 コンピュータソフトウェア協会
 専務理事 笹岡 賢二郎

 
 銀行口座に始まり、クレジットカード、インターネット、携帯電話、Webショッピングなどあらゆるサービスの開設にあたり、私たちは必ず契約段階で本人確認のためIDとPW【又は暗証番号】を新たに設定することを求められます。料金が発生するなど金銭が絡んでくるのならなおさらです。
 
 でも皆さん、二つや三つくらいならいざ知らず、今や誰でも10や20のID/PWを持っているのは普通ですし、しかも半年くらいでPWを変更してくださいときます。これはもう拷問以外の何ものでもなく、個人で管理するのは無理ではないかと思っているのは私だけでしょうか?しかも、IDと同一、数字だけの組み合わせ、辞書に載っている単語の組み合わせはダメなど、これでもか!というくらい覚えることが困難な英数字をPWにするように要求してきます。恥ずかしながら私は仕方なく、同じか又は類似したPW(もちろん8桁以上)を使い回しています。それでも半年ごとのPWの更新には対応しきれていません。
 
 私もかつて情報処理推進機構(IPA)のセキュリティセンター長をしていたので、そのようなPWの不便さに合理的な理由があることは分かります(下表参照)。4桁の英字のPWだとパソコンを使用した総当たり攻撃(Brute Force Attack)であれば約3秒で破られてしまいます。セキュリティ上はせめて8桁というのが常識ですが、望むらくは12桁以上です。そのため、現在のサービスでは8桁以上の英数字列がPWとして推奨されています。
 

表: 使用できる文字数と入力桁数によるパスワードの最大解読時間
情報処理推進機構(IPA)「 今一度、パスワードを点検しましょう! 」より引用
http://www.ipa.go.jp/security/txt/2008/10outline.html

※すべての組み合わせを試すために必要な時間を計算。記号は31文字使用できるものとした。使用パソコンOS:Windows Vista Business 32bit版、プロセッサ:Intel Core 2 Duo T7200 2.00GHz、メモリ:3GB
 
 PWの使い回しは個人でPWを管理する上での便法ですが、当然リスクがあります。最近色々な企業で情報漏えい事件が起こっていますが、自分のID/PWがもしそのような事案に巻き込まれ第三者に漏えいし、リスト攻撃などに悪用されれば、同じPWを使う別のサービスアカウントで思わぬ被害にあう可能性もあります。
 
 心配しだすとキリがありませんが、ただ最近一筋の光明が見えてきました。先日たまたま某銀行で新規に口座を開いたところ、指の静脈情報を暗証番号と併用していました。一応、暗証番号も登録するのですが、普段、生体認証機能のあるATMを使う限りは暗証番号を使うことなくほとんどのサービスが事足ります。銀行に関してはこれで暗証番号からは解放されました。このような生体認証機能付きの端末がクレジットカードを始め、あらゆるサービスにもっと広がらないでしょうか。今や、あらゆるもの(端末)がインターネットとつながるIoT時代が本格的に到来しており、セキュリティもこれからの課題です。生体認証により、いつか個人がID/PWの管理から解放される時代が来ることを期待しているのは私だけでしょうか?
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。