in-depth
  • ユーザ認証

パスワードの限界とこれからのユーザー認証(前編)

大島 修   上級セキュリティエンジニア

アメリカの国立標準技術研究所(NIST:National Institute of Standards and Technology)は電子的デジタルIDの認証のガイドラインにおいて、パスワードの定期変更をユーザーに強制すべきではないとの考えを示しました。その背景について、前後編の2部構成で解説します。前編である今回は、パスワード変更に潜む課題について紹介します。

パスワードの強制的な定期変更をNISTが否定した理由

2017年6月、アメリカのNISTは電子的認証デジタルIDに関するガイドラインである「NIST SP800-63-3」を発表しました。何らかの強制力を持った文書ではなく、あくまでも提言という位置づけのガイドラインですが、この文書は多くの国や組織、団体に参照されているなど、影響力の大きい文書となっています。

この文書の中で注目を集めたのは「パスワードの定期的な変更を強制すべきではない」と明示された点です。従来は、「仮にパスワードが漏えいしていても、定期的に変更していれば被害が拡大するのを抑えられる」という考えがあったため、システムによる定期的な変更の強制はセキュリティ上有効であると考えられてきました。NISTがそれを否定した理由は、定期変更を強制するという状況下に置かれたとき、多くの人は自分に覚えやすいパスワードをに設定してしまうためです。たとえば、今まで使っていたパスワードの最後に数字を付け、1を2にするなどといったように数字をカウントアップまたはカウントダウンする。あるいは記号を付け、パスワード変更のたびに記号の個数を増やしていくといった形です。人間の記憶力には限界があるため、どうしても覚えやすいものにしたいと考えてしまうのです。

その具体的な事例としは、ノースカロライナ大学による調査が挙げられます。同校では3カ月に1度パスワードを変更することをポリシーとしていましたが、調査対象であった教員や職員、生徒などユーザーの多くは、推測されやすい単純な変更規則に基づいてパスワードを変更していたにとどまっていたというのです。

明らかになったパスワード変更のパターンをルール化し、過去に設定されたパスワードから直近のパスワードを推定できるかどうかの実験が行われました。その結果、そのルールに従って解析を行うことにより、全ユーザーの過去のパスワードがわかっている場合、ユーザが次に選ぶパスワードは17%は5回以内の試行でパスワードが特定され、また、全ユーザーの40%は30秒以内に特定されました。
つまりパスワードの変更を強制しても、多くの人は数字を増やすなど単純な変更しかしないため、変更後のパスワードも簡単に推定できてしまうというわけです。これではセキュリティ上の意味があるとは言えないでしょう。

これからはパス"ワード"ではなくパス"フレーズ"で

それでは、どのようなパスワードを設定すべきなのでしょうか。NISTのガイドラインで提示されているのは、パスワードではなくパスフレーズ、つまり単語ではなく文章のような長い文字列を使うことです。具体的には64文字以上の長さの文字列もをパスワードとして設定できること、そして、文章の中で使われる空白を許容することを求めています。また、多言語のパスワードも許容すべきだとしており、今後はUTFへの対応も必要になるでしょう。たとえば、「P@$$w0rd123!」のような文字列ではなく、「これは推測が難しいパスフレーズです」といった日本語の文章をパスワードとして使うというわけです。これなら意味を持つため覚えやすい上、文字列が長くなるため機械的な試行思考では推測しづらいため、セキュリティ上の強度も増すことになります。

ユーザー認証はシステムの根幹に係わる部分でもあり、NISTが提示するような形に対応するシステム改修にへの修正は時間がかかるでしょう。ただ、パスワードによる認証にはセキュリティ上の課題が多いことも事実であり、今後徐々にNISTのガイドラインに沿った認証システムに置き換わって代わっていくのは間違いがなさそうです。

後編では、企業における認証基盤の今後について考えていきます。


Time to rethink mandatory password changes

The UNC researchers found that for 17% of the accounts they studied, knowing a user's previous password allowed them to guess their next password in fewer than 5 guesses. An attacker who knows the previous password and has access to the hashed password file (generally because they stole it) and can carry out an offline attack can guess the current password for 41% of accounts within 3 seconds per account (on a typical 2009 research computer). These results suggest that after a mandated password change, attackers who have previously learned a user's password may be able to guess the user's new password fairly easily.