パスワード
最終更新日
2023年09月07日
パスワードとは
基礎
パスワードとは、ユーザーであることを明らかにするために使用する文字列です。一般的にはユーザー名と組み合わせます。例えばコンピューターにユーザー名とパスワードを登録しておき、入力したユーザー名とパスワードが登録内容と一致すると使用できます。
パスワードの上限が短い理由
一般的に登録したパスワードをデータベースに保存します。昔のシステムではパスワードが長いほどデータベースへの格納に必要な文字列も長くなります。昔はストレージの容量あたりの価格が高かったので、パスワードの上限を長くできませんでした。今のシステムではハッシュ法が普及しており、データベースに格納する文字列の長さのみに関して言うと、その長さがパスワードの長さによらず同じになります。パスワードが長くなるほどハッシュ法に関連する処理の負荷が大きくなりますが、10MBを大きく超えるような異常な長さではなければ、最近のコンピューターの性能であれば大した負荷になりません。
それでもパスワードの上限が短い状況が続いています。パスワードの上限について過去の仕様を踏襲している、パスワードの上限が長い方がよい雰囲気をセキュリティー業界が作れなかった、以上の理由があるためです。
今ではパスワードが長いほどよい話がよく知られており、仕様変更すればよいですが、簡単にはできない理由があります。パスワードの上限を増やす仕様変更の技術的ハードルは低いです。予算のハードルは高いです。パスワードの上限を増やすだけの変更でも、他の仕様への影響の有無の調査、変更後のテスト等、結構コストがかかります。元号の変更等、緊急を要する仕様変更でもないので、パスワードの上限を長くする仕様変更を急いでやる必要がない、このような方針をとっているところが多い理由もあります。
パスワードの種類
ユニークパスワード
ユニークパスワードとは、特定の範囲内において唯一存在するパスワードです。例えば自分が所有する複数のコンピューターの範囲内で重複がないようにパスワードを登録すると、それぞれがユニークパスワードです。ワンタイムパスワード
ワンタイムパスワードとは、使用できる回数が1回のみのパスワードです。英語でOne Time Passwordであり、略してOTPと呼ぶ場合もあります。パスワード作成
パスワードに大文字、数字、記号を入れるが無意味になった理由
昔にパスワードに大文字、数字、記号を含めることを推奨する話が広まりましたが、無意味になりました。その理由は、単純なパスワードであることに変わりがない作成方法を推奨したためです。例えば「password」を「pASswoRd」や「pA$sw0Rd」にする等です。これでは見抜かれやすいです。パスワードを特定しようと悪意ある人が予測するのが困難になるように、大文字、数字、記号を含めパスワードを作成するなら、あらゆるパスワードを試して解読しようとする総当たり攻撃(ブルートフォースアタック)対策になり意味があります。大文字、数字、記号を含めても覚えやすいパスワードを作成すると、悪意ある人が予測しやすいのでよくありません。
パスワードに大文字、小文字、数字、記号が必須だと危険だが妥当な理由
パスワードの作成が必要なウェブサイトにて、パスワードに大文字、小文字、数字、記号、それぞれ1文字以上が必須と指示がある場合、パスワードが複雑になり安全性が向上すると思われます。そうとは限らず危険な場合があります。総当たり攻撃(ブルートフォースアタック)で試す必要がないパスワードの組み合わせパターンが大幅に増えてしまい、パスワードを破られやすくなります。パスワードに大文字、小文字、数字、記号を使用できるが、使用が必須ではない条件にすると、例えば数字のみにし覚えやすい単純なパスワードを作るユーザーが出てきます。使用が必須という条件にしておけば、そのようなユーザーが出てこないようにする効果があります。
今ではどこも試行回数の上限があるので総当たり攻撃対策済みです。単純なパスワードの作成を防ぐためパスワードに大文字、小文字、数字、記号が必須が妥当です。
試行回数上限ある場合でも複雑なパスワードが必要
パスワードによる認証機能があるウェブサイト等には、パスワードの試行回数に上限があるところが多いです。あらゆるパスワードを使用しログインを試みるブルートフォース攻撃対策のためです。例えば3回の場合、パスワードを3回間違えるとロックされます。それなら複雑なパスワードが不要と思われます。数字3桁の単純なパスワードでも3回であっても突破が難しいです。セキュリティーリスクを考えるときりがありませんが、試行回数の上限を回避するサイバー攻撃が発生する可能性があるので、単純なパスワードではよくありません。その可能性がなくても、パスワードスプレー攻撃が試行回数上限を超えない範囲で発生する可能性があります。パスワードスプレー攻撃とは、単純なパスワードを使用し様々なウェブサイト等でログインを試みるサイバー攻撃です。「123456」、「abcdef」、「qwerty」等、単純なパスワードだと成功する恐れがあります。ある程度は複雑なパスワードが必要です。
キャンペーン情報(PR) |
---|
マウスコンピューター
・オータムセール 最大50,000円OFF (10月9日迄) DELL ・今週のおすすめ製品 対象製品が特別価格でお買い得 (キャンペーン実施中) パソコン工房 ・決算セール セール対象BTOパソコン最大55,000円OFF (10月1日迄) |