パスワードを忘れた? アカウント作成
12522821 story
英国

英GCHQ、複雑すぎるパスワードの使用中止を推奨 47

ストーリー by headless
単純 部門より
複雑なパスワードはユーザーの負担になるだけでセキュリティー向上にはつながらないとして、パスワードポリシーの緩和とシステム側での対応強化を推奨するガイダンスを英政府通信本部(GCHQ)が発表している。ガイダンスはGCHQの電子通信安全局(CESG)が国家インフラストラクチャー防護センター(CPNI)とともに作成したもの(Password guidance: simplifying your approachCESGのブログ記事The Independentの記事BetaNewsの記事)。

ユーザーの負担を軽減するための措置としては、保護の必要な場面でのみパスワードを使用すること、安全なパスワード管理手段の提供、パスワード変更を強制するのは不正ログインが疑われる場合などに限ること、ユーザー間でのパスワード共有を禁じ、ハードウェアトークンなどによるアクセスコントロール手段の導入を検討することなどが挙げられている。パスワード管理ソフトウェアを使用する場合は攻撃者のターゲットになりやすい点にも注意すべきとしている。

ユーザーにパスワードを作成させる場合、推測しにくいパスワードを選択するための指導を行い、よく使われるパスワードはブラックリストにより禁止することを推奨。一方、機械的にパスワードを生成する場合はランダムな4つの単語の組み合わせや、子音-母音-子音を繰り返した構造を持つパスワードを推奨し、複数の候補を提示してユーザーが覚えやすいものを選択できるようにすべきとのこと。ユーザー生成・機械生成いずれの場合も、パスワードを職場と自宅で共有しないことが重要だとしている。

このほか、出荷時にデフォルトパスワードが設定されている場合はデプロイ前に変更すること、管理者やリモートユーザーにはより高度なセキュリティ対策を行うこと、怪しいログイン試行を監視してロックアウトなどの措置を行うこと、パスワードを平文で保存しないことなどが推奨されている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年09月22日 13時55分 (#2887079)

    GCHQ「その方がうちら、仕事楽やし・・・」

    • by Anonymous Coward on 2015年09月22日 16時50分 (#2887137)

      GCHQが言っても、説得力なさすぎるよねw

      >政府通信本部(せいふつうしんほんぶ、Government Communications Headquarters;略称GCHQ)とは、
      >イギリスの情報共同体において、偵察衛星や電子機器を用いた国内外の情報収集・暗号解読業務[1](シギント)を担当する諜報機関である。

      親コメント
    • by Anonymous Coward

      「ハードウェアトークンの出力なんて調べれば分かるしな」

  • 英数+記号2で6ビットなので、パスワード認証に最低限必要と思われている8文字で2^48通り。
    小さな辞書8192語としても2^13で、数万語の普通の辞書から乱択するかぎりは4つで9~10文字パスワードと同程度になりますね。認証なら十分の強度と思われます(もちろん暗号化には不十分)

    ただこの乱択がやっかいで #2887064 [security.srad.jp] みたいに『思いつきで4単語選ぶ』と誤解する人は少なからず出そうです。
    同じパスフレーズ生成手法に関する以前のストーリー NSAでも破れないが、覚えやすいパスフレーズ [security.srad.jp] でも指摘しましたが、数学的なランダム生成しないとかえって脆弱になってしまう可能性を排除できません。

  • by Anonymous Coward on 2015年09月22日 13時55分 (#2887080)

    最近のポリシーだと英数混在とか大文字小文字混在しか駄目とか、しかもそれが場面ごとに違い、あげく8文字以内があるというもうどうすりゃいいのかわからない状態。
    さらにそれを全部定期的に、前のと他サイトのと被らないように変更しろと。
    一年ぐらい使わなかったサイトのパスワードなんか、そら忘れるわ。

    どっちかというと、使うべきポリシーをどっかが決めて統一してくれると良い。
    それならこっちも、一定のルールでパスワード決めておけば忘れにくい。

    良いんだけど、既存のシステムでは難しいだろうなあ。

    • by Anonymous Coward

      どうして銀行とかクレジットカード会社とかに文字数を制限しているところが多いのだろうか。
      カードのは8文字以内が多いし、職場で使っている某銀行のシステムはパスワード8文字固定だし。

      • Re:ポリシー (スコア:5, 参考になる)

        by Printable is bad. (38668) on 2015年09月22日 15時09分 (#2887108)

        カードのは8文字以内が多いし、職場で使っている某銀行のシステムはパスワード8文字固定だし。

        未だにDESベースのアルゴリズムなcrypt関数を用いたレガシーなシステムを使っているからでは? その場合、8文字までしか使えません。

        日本には「動いているシステムを弄るな」という神話がありますので、

        • 当該システムの脆弱性が原因で、
        • 顧客などに実害が生じて、
        • それによって会社に経済的な損失が実際に発生した場合、

        でないと、システムの改修は難しいです。単に脆弱だというだけでは駄目で、実際に会社に損害が発生して対策委員会が開かれないとダメなんです。

        完全に新しいシステムを開発する場合、流石に8文字制限にはしないと思います。

        親コメント
        • by Anonymous Coward on 2015年09月23日 4時29分 (#2887371)

          こういう話を聞くと、コンピュータ犯罪者も生態系の一つの役割を担っていると感じたりする。

          親コメント
        • by Anonymous Coward on 2015年09月23日 5時03分 (#2887374)

          DESベース?
          全銀プロトコルの制限でなかったっけ?
          拡張仕様もあったと思うが、結局相互通信が可能か否かの問題だから、新規開発でも制限はあるさ。

          親コメント
      • by miyuri (33181) on 2015年09月22日 16時36分 (#2887131) 日記

        記入用紙の都合があるから、制限が必要。

        親コメント
  • by Anonymous Coward on 2015年09月22日 13時28分 (#2887062)

    パスワードは文章がいいらしい。
    umigasukiとかyamatoiebafuzisanとか

    • by Anonymous Coward

      前のエントリーでpasswordispasswordがでたばかりじゃないですか

    • by Anonymous Coward

      「英字、数字、記号を混ぜて8文字以上。辞書に乗っているような単語はNG」みたいなパスワードが勧められるけど、辞書に載ってるような単語を5, 6個組み合わせた長いパスワードのほうが覚えやすいし強いと思うわ。
      辞書に載ってる言葉が10万として、組み合わせは10万の5〜6乗だし。
      まあ、パスワードに使える文字数が12文字とか16文字までってサイトが多いから使えないけど。

  • by Anonymous Coward on 2015年09月22日 13時31分 (#2887064)

    が一番安全と聞いて

    • by Anonymous Coward

      うん,Japanglish はこういう用途にはぴったりな気がする.

  • by Anonymous Coward on 2015年09月22日 14時18分 (#2887090)

    文章を適当にleet speekでエンコードすれば良いんだな(白目)
    まあパスワード8文字まで、的な環境では難しいが。

    公機関からの呼びかけとしては「情報システムを作るときには長いパスワード文字列を使えるようにすべきである」としていくのがいいのではなかろうか

  • by Anonymous Coward on 2015年09月22日 14時45分 (#2887099)

    あのバカ機能の禁止も盛り込んでくれ
    あんな機能を入れるアホの顔が見てみたいもんだ

    • by Anonymous Coward on 2015年09月22日 14時51分 (#2887103)

      秘密の質問は大事ですよ。
      パスワードの定期更新と共に駄目さ加減がわかる指標として重宝してます。

      親コメント
  • by Anonymous Coward on 2015年09月22日 15時34分 (#2887115)

    基本は30桁ぐらいのランダム文字列ですよー

    20も30もあるパスワードを全部暗記しろって?
    ムチャいうな

    • by Anonymous Coward on 2015年09月23日 10時17分 (#2887417)

      それを普通の人がやると、ある日突然PCがクラッシュし、新しく買ったPCでパスワードが全部分からなくなる。

      親コメント
    • by Anonymous Coward

      私もそうしてたけど,パスワードマネージャー使えないようにしたクソ環境で入力するのが大変なことに気がついて,最近は12文字ぐらいに抑えるようになった

      • by Anonymous Coward

        そういうクソ環境って監視ツールとかMITM証明書とかてんこもりでパスワードを入力すること自体超絶リスクが高いんじゃね?

    • by Anonymous Coward

      最近あちこちでパスワードを要求されるのでランダムにするようにした。
      しょっちゅう更新を要求されるし、キーワードなどを考えるのが面倒なので。

      キーボードをデタラメに叩き、足りないと思った数字や記号を適当に追加して、紙やテキストファイルにメモ。

      覚えておくのは1日何回もパスワードを入力する業務PCと自宅PCのログオン用くらい。

  • by Anonymous Coward on 2015年09月22日 17時22分 (#2887149)

    が使えるとセキュリティって上がるんじゃなかろうか。
    どうせUnicodeなんだから、漢字カナ英数混在の「俺の入力しやすい文字」で入れれば、総当りチェックなど不可能に近くなる。

    二バイト文字圏以外のシステムで使えないわけですけどね。
    駄目かやっぱ。

    • by Anonymous Coward on 2015年09月22日 18時24分 (#2887174)

      IMEがパスワードを学習してしまうという致命的な問題がある

      親コメント
    • by Anonymous Coward

      ECDSAの鍵長が160bitとかだし十分強度のあるパスワードはもう秘密鍵と区別が付かない

    • by Anonymous Coward

      いや、別に二バイト文字圏以外の場合は、従来通り、記号と半角英数でパスワード作ればいいだけじゃないか。
      システム側は、パスワードに漢字やアラビア文字、タイ文字やキリル文字もOKにして、「漢字とかを常に含めなければならない」みたいなルールを作らなければ良いだけ。

      問題は、他の人も言ってるようにIMEがパスワードを覚えてしまいかねない点だな。

    • by Anonymous Coward

      安心しろ。"TheCharactersIcanTypeEasily"ぐらいの強度しかないから。日本語には一人称がいろいろあるし、漢字で書くか、ひらがなで書くか、カタカナで書くか、バリエーションがあるとは言え、英語なら大文字小文字の使い分け、単語の区切りに利用する文字の選択、アルファベットを数字や記号に置き換え、と言った技があるから、あまり差はない。

      まあ、「MacはWindowsよりも安全」というぐらいの差はあるかも知れないけどね。

    • by Anonymous Coward

      macで「パスワード」ってパスワード登録してwindowsからログインしたらサロゲートペアでログイン出来なくなるじゃん
      まあそのための正規化ではあるけど。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...