Skip to content

パスワードについての雑感・・・

~パスワードのこれまでとこれから~

セキュリティ・エグゼクティブ・ディレクター 中島浩光

 

 

先日、某100円均一ショップにいったのですが、「パスワード管理帳」なるものが売っておりました。
自分の仕事を考えると、買って中身をチェック!とするべきかもしれませんが、買っていません。

今回は、そんなパスワードに関しての、とりとめのない話になります。
 

 

<30年位前の話>

今現在の日本の生活では、スマホなりPCなりでパスワードは当たり前に扱うもののはずですが、
分かりやすく言うと「アラジンと魔法のランプ」に出てくる「開けゴマ」という呪文だったり、
昔の時代劇などでの「山」「川」の合言葉だったりするわけです。

私にとってのパスワードとの出会いは、30年以上前の大学時代の授業での「計算機演習」で
プログラミング演習をPascalでやっていた時で、計算機センターのUNIX機に入るためにIDとパスワードが配布された時でした。

まあ、当時は生徒として使っていただけなので、セキュリティ云々の意識はなかったのですが、
大学院時代に研究室のネットワーク/UNIX機の管理者になってから、セキュリティの話も必然的に手を染め始めました。

 

当時のパスワードポリシーは、「英大小、数字、記号を使い6文字以上で推測されにくいもの」という程度のポリシーでした。
というのも、当時の演算能力であればパスワードの解析には年単位?の時間がかかるので実用上問題ない、という理屈でした。

これは、「総当たり攻撃(Brute-force Attack)」といいますが、
パスワードに使用する文字種からパスワードになり得る文字列を順番に全て試してみるという力技で、
時間をかければ必ず解析可能な攻撃手法を使っても、すごく時間がかかるから大丈夫、というものでした。

でも、よく考えると最初のほうで「当たり」を引かれる可能性とか、ムーアの法則とか無視してますよね・・・・。


 

 

<パスワードに対する攻撃手法>

さて、実際のシステムで「総当たり攻撃」がされるのか?と言われたら、、
多分、ありません。
実際のログイン画面に対して、ターゲットのIDに対して延々とパスワードを総当たりで入力して確認していくなんてことはしません。

 

総当たり攻撃を使うのは、サーバ側で保存している「暗号化されたパスワードデータ」を入手し、その暗号化されたパスワードデータに対して行われます。
今現在では、30年前とは比較にならない演算能力を準備することが簡単になっており、
8文字以内のパスワードであれば総当たり攻撃によりかなり短い時間でパスワードを解析可能なので、暗号化されたパスワードデータが漏洩すると、
実質的にパスワード情報が流出したのと同じになってしまったりします。

 

そして、過去にそういったIDと暗号化されたパスワードデータが漏洩した事故というのは存在しており、
漏えい件数としても百万件以上の単位だったりします。
そのため、漏洩したデータが解析され、使われているパスワードのデータであるレインボーテーブル(Rainbow Table)というものも存在します。


そうなると、漏洩したIDとパスワードの組がたくさんあるわけですが、
実際に漏洩したサイトでは、利用者にパスワードを変更させていたりするので、漏洩したサイトへの攻撃にはそれほど有効ではありません。

ところが、IDがメールアドレスである場合、他のメールアドレスをIDとして使っているサイトに利用者がいた場合に同じパスワードを使い回ししていた場合に、簡単に不正ログインが出来てしまうのです。
これを「パスワードリスト攻撃」と呼んでいますが、この攻撃は多いです。しかも、結構成功してたりします。


あと、「リバース(逆)ブルートフォース攻撃」というのも多いです。
ブルートフォース攻撃を実際のサイトでやろうとすると、ターゲットにするIDに対して異なるパスワードを入力していくことになりますが、
そうすると「パスワード入力を○回失敗するとアカウントロックする」という仕組みが導入されている場合、攻撃が簡単に失敗してしまうのです。

でも、この業界では有名ですが「よく使われるパスワード」と言われるものがあります。
これを使って、「あるIDとパスワード1」で攻撃、次にパスワードではなく「別のIDとパスワード1」という風に、
パスワードではなくIDのほうを次々に変えて攻撃するやり方が「リバースブルートフォース攻撃」になります。

こうすると、アカウントロックの仕組みも回避できて、かつ、攻撃がうまくいく可能性もあるわけです。



 

<「認証がパスワードだけ」は時代遅れなのか?>

さて、こういったパスワードへの攻撃に対する対策もとられているわけですが、
それでもこれらのパスワードへの攻撃は普通に実施されていたりするわけです。

そう考えると認証(本人確認)方式としてパスワードのみとするのは、もしかしたら時代遅れ?なのかもしれません。


私がパスワードに出会った30年前とかであれば、パスワードを使う場面は片手以下の状況であり、
現在ではインターネット上でいろんなサイトを利用していることを考えると数十?(3桁はないと思いたい・・・)の場面でパスワードを使っている状況なのです。


その全てのサイトである程度以上の長さ、複雑さで、かつ、使い回しをせずに、パスワードを「記憶する」というのは、まあ、普通の人には無理ですよね・・・・。

その意味で、パスワードという認証方式に関しては、どのように運用するのか等、社会情勢もきちんと考慮して、利用者の視点も含めて、きちんと考え直す必要があるかもしれない、
とこのコラムを書きながら思いました。


 

 

 


GRCSによるブログ記事です。