セキュリティ対策自己宣言一つ星シリーズ。前回は「ウイルス対策ソフトを導入しよう!」を見ました。3回目は「パスワードを強化しよう!」を見ていきます。
避けるべきパスワードは?
パスワードを強化しましょう、を言い換えると「現在は破られやすいパスワードを使用していませんか?」という意味になります。破られやすいパスワードは、例えば次のようなものです。
- ユーザIDと同じ
- 名前、電話番号、誕生日など公開情報
- 辞書に載っている英単語
- いろいろなサービスで使いまわしている共通のパスワード
パスワードを破る人の立場から見ると、最初の2つは「破るための手がかりがある」状態です。郵便受けなどのダイヤル式錠前でいたずらしてみたら開いちゃった、という経験がある人も多いと思います。
3つ目の「辞書に載っている英単語」は、プログラムを作って辞書にある単語を全部試していく攻撃に弱いです。繰り返し作業はコンピュータの得意技です。
4つ目の「使いまわしパスワード」は直観的ではないと思います。
どこかのwebサービスでユーザ情報の大量の情報漏えいを起こすと、ID・パスワードの組み合わせのリストが出回ります。そのID・パスワードで別のwebサービスにログインを試す、という攻撃方法があるためです。この攻撃方法はたびたびニュースになっています。
つけるべきパスワードは?
避けるべきパスワードはわかりました。どのようなパスワードが良いのでしょうか? セキュリティアクションのパンフレットには対策例として次のように書かれています。
- 英数字記号含めて10文字以上にする
- 名前、電話番号、誕生日、簡単な英単語は使わない
- 同じID、パスワードはいろいろなウェブサービスで使いまわさない
3つのうち2つが禁止令なので、徹底するにはもうすこし具体性がほしいです。その点を詳しく書いていきます。
キーポイントは「使いまわさない」という点です。ということは、webサービスを20個使えば20個とも別のものにしなければなりません。
それでは暗記できませんよね。つまり、パスワード管理ソフトを使いましょう。パスワード管理ソフトにはランダム文字列を自動生成する機能があるので、「文字数は10文字以上」「名前・電話番号等を使わない」という条件もクリアしやすくなります。
では、パスワード管理ソフトを導入しなければならないかというと、必ずしもそうではありません。ブラウザにChromeをご使用であれば、パスワード入力欄を右クリックすると「パスワードを自動生成…」というメニューが出てきます。ここで生成したパスワードはChromeに保存されるので、覚えておく必要はなくなります。
この機能を使うにはいくらかの設定が必要ですが、多くの人はすでに設定済みでしょう。
このように、パスワード管理機能を使うことで「長く」「複雑に」「使いまわさない」が徹底しやすくなります。
パスワード管理ソフトは多くの種類がありますので、実際にどれを使うかは組織に合わせて検討する必要があります。例えば上記Chromeの場合、法人向けインターネットバンキングではサポート外で使えない場合が多いですので、経理部門の人には使いにくいです。
二段階認証・二要素認証が望ましい
情報セキュリティ5か条では「パスワードの強化」が謳われています。しかし、実際にはここ数年でパスワード認証の限界がささやかれています。
代わりに推奨されるのが二段階認証・二要素認証です。二要素認証は情報漏えいに強い仕組みです。
つい先日9月4日、電子契約サービスの本人確認において二要素認証が望ましい旨が書かれたQ&Aが公表されました。
電子契約は紙とハンコの代わりになるものですが、ハンコには本人確認の意味があるということになっています。
それにとって代わる電子契約にも本人確認の能力を求められます。パスワードはその一環ですが、電子契約の場合は二要素認証も用いることが望ましい、ということです。
パスワードの破られ方は年々巧妙になっており、その守り方も年々進化しています。できるだけ新しい方法を用いて、安全を確保していきましょう。