こんにちは。キューブ・エスの中村です。

今回はパスワードの安全性についてお話をさせて頂きます。

 

さて、先日も別の投稿で記載をしましたが

パスワードについては話をする機会が多いです。

 

とあるお客様曰く、

「パスワードは大文字・小文字・数字・記号で3カ月に一度必ず変更させたい」とのこと。

また別のお客様曰く、

「パスワードはパソコン内に例え暗号化されていたとしても保存はしてはいけない」とのこと。

こういう仕事をしていると、

ああ、会社によって様々なポリシーがあるものだな。。と驚かされます。

 

では、何が正しいのでしょうか？

 

はい、答えは、「わかりません」

ふざけるな！とお怒りの方もいらっしゃるでしょうが

いや、本当に判らないのです。

 

例えば、会社のセキュリティルールとして3カ月に1度変更する事

なんてルールがある会社もあります。

この会社において、「なぜ3カ月に1度更新する必要があるのか」ではなく

「そう言うルールでの運用が義務付けられている事が大切」だからです。

 

例えばPマークの運用、例えばISMSにおいて、PCIDSSにおいて

パスワード運用の規定がある事が多いです。

この為、規定通りに運用する事が大切である事を理解しなければなりません。

 

では実際のところ、運用で気を付けるべき点はどのような箇所なのでしょうか？

弊社では以下の点をお勧めはしております。

・セキュリティ規定で決まっている場合を除き、パスワード変更はしない

・パスワード管理はAD等の認証サーバを導入し、個々で行なう様にする

・管理者IDと個人IDは別に分け、個人IDは本人のみパスワードを知っている状態にする

・ディスプレイ前に付箋が張ってある等は言語道断

・パスワードは最低でも記号入り10文字で設定する

・パスワードは意味の無い文字の羅列にする

・認証サーバが無い場合は各システム別にパスワードを準備する（全て異なる事）

 

尚、昨年5月に発表された米国立標準技術研究所による昨年のガイドラインの内容から、

実際には定期的なパスワード変更をする事により、

極めて適当なパスワードを設定する事が多く、流用されたパスワードの

一部変更がされたパスワードを生成する傾向が強くある事から

パスワードの定期変更はしてはいけない、と勧告するとしました。

スペースも使用できる、最低64文字以上のパスフレーズを使用した認証を推奨するとの話です。

 

ちなみにパスワードの長さは記号+小文字大文字+数字のランダムな羅列の場合

8文字、9文字、10文字の違いだけでもそれぞれ1桁増えるごとに

全件検索での解読までの期間が約60倍になるとの事です。

10文字の場合で400年～500年かかる様になるとの事で

事実上不可能になりますので、是非とも記号を含めた物で

10文字以上で運用する事をお勧め致します。