IT・技術研修ならCTC教育サービス

サイト内検索 企業情報 サイトマップ

研修コース検索

コラム

Inst. Tech View

CTC 教育サービス

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  OpenStack  システムトラブルシュート 

第22回 パスワードについて 2013年2月

 今回のInst. Tech Viewは、パスワードについての話題です。

 昨今、仕事やプライベートの様々なシチュエーションでパスワードを設定することが多々ありますが、そのパスワードを何度も試みて他人のアカウントを不正に乗っ取ろうとする攻撃(パスワードクラッキング)が後を絶ちません。今年に入ってからも誰もが知っているいくつかの有名なSNSに対してそのような攻撃が行われたことがニュースになっています。
 もし自分自身のアカウントがそのような攻撃を受けてしまった際に、万が一適当なパスワードが設定されてしまっていると簡単にアカウントが乗っ取られてしまうことになりかねません。

 今回は、そのような攻撃を受けた場合でも容易にアカウントが乗っ取られないようにするために、どのようなことを意識してパスワードを設定したらよいかについて紹介します。皆様にとってもパスワード設定は身近なもので定期的に行っている作業かと思いますので、参考にしていただければ幸いです。

 さて、孫子の謀攻篇には「彼を知り己を知れば百戦して殆うからず」といった有名な文言が記載されていますが、この文言のように様々なサイバー攻撃に対して効果的な防御策を講じるには、そのサイバー攻撃の実態を把握する必要があります。パスワードクラッキングについても、パスワードクラッキングツールの実際の挙動を把握することで効果的な対策を立てることができます。

 それを踏まえた上でのまず1つ目の有効な対策は、「辞書に載っている単語はパスワードに使用しない」ということです。

 多くのパスワードクラッキングツールは辞書データベースを参照して動作し、その辞書データベースに載っている単語がパスワードかどうか試します。もしパスワードを破ることができない場合は、次に辞書に載っている単語に文字を付け加えたり、削った文字をパスワードとして試したりします。

 したがって、上記のような辞書データベースを参照して動作するパスワードクラッキングツールが使われた場合は、「辞書に載っている単語をパスワードに使用しない」だけでもパスワードが破られるまでの時間をかなり稼ぐことができます。

 ただ、「辞書に載っているパスワードを使用しない」だけでは十分な対策とは言えません。それは、パスワードクラッキングにツールによっては辞書データベースの参照と併せて「考えられる文字のあらゆる組み合わせを試す」といった動作を行うものもあるからです。

 そこで、2つ目の有効な対策は、「パスワードの文字数をできるだけ長くする」ということです。IPAが公開している「今一度、パスワードを点検しましょう!」では、どのようなパスワード解析ツールを使用したかは明示されていませんが、アルファベットのみのパスワード(大文字・小文字区別なし)で、すべての文字をパスワードとして試すために掛かる所要時間として4文字が約3秒、6文字が約37分、8文字が約17日、10文字が約32年といったデータを公開しています。
 8文字では約17日とやや心許ない結果となっていますが、10文字に伸ばすだけで約32年と飛躍的に破られにくいパスワードを設定することができます。

 併せて次の3つ目の有効な対策を講じると更に破られにくいパスワードを設定することができます。それは、「パスワードに大文字や数字・記号も含める」ことです。

「アルファベット(大文字・小文字区別あり)+数字+記号」の文字列のすべての組み合わせでは、4文字で約9分、6文字で約54日、8文字で何と約1,000年掛かるといった試算が出ています。先ほどの条件ではパスワードとしては不適格な8文字でも、大文字・小文字の混在や数字や記号をパスワードに加えるだけで約1,000年と非常に強固なパスワードを設定することができます。

 以上、3つの有効な対策をご紹介しました。ただ、これらの対策はどれか1つが欠けてしまうとパスワードの強度が落ちてしまう可能性があります(例えば、文字数が長くても辞書に載っている単語しか使用していない場合等)。
 したがって、パスワードを設定される場合はこれら3つのすべてを満たすパスワードを設定することをお勧めいたします。

 ちなみに筆者がプライベートで設定しているパスワードは、数字と記号を加えた20文字以上のパスワードにしています。長いパスワードを作ったり覚えるのが大変ですが、アイデア次第で簡単に作ることができます。例えば、まず通勤での乗車駅と乗換駅と下車駅をアルファベット化したものを組み合わせるだけでも長い文字列を作ることができます。それを更に分かりづらいものにするためには、その文字列をアルファベット順で1つ前の文字にする(例えばbという文字はaに変換する等)といったテクニックもあります。
 さらに最寄駅のいつもの乗車時間を付け足せばパスワードに数字や記号を加えることもできます。以上はあくまでパスワード設定の一例ですが、アイデア次第で自分にとって覚えやすい数字や記号が混在した文字数が長いパスワードを簡単に作ることができます。

 なお・・・
CTC教育サービスではパスワードクラッキングをはじめとしたコンピュータへの様々な攻撃手法の実態と、その対策方法を紹介するコースを提供しております。
 セキュリティ関連の知識を向上させたい方のご受講を心よりお待ちしております。

■■■ コースの詳細情報 ■■■  ※価格はメルマガ配信時点の価格です。

N472:実践!コンピュータセキュリティ
   ~ハンズオンで学ぶハッキング手法とその対策~
期間:2日間
価格:\105,000(税込)

LI39:Linux OSセキュリティ
   ~Linuxシステムへの攻撃手法と、その防御方法について~
期間:3日間
価格:\119,700(税込)

 


 

 [IT研修]注目キーワード   Python  UiPath(RPA)  最新技術動向  OpenStack  システムトラブルシュート