ユーザー認証を強化するには様々な方法が考えられる(図2-1)。そのなかで、システムの構成などに関係なく、すべての企業で実践できる認証の強化策はパスワードの見直しだろう。
図2-1●認証システム強化のニーズから適した対処方法を探る
第1回の図1-1に挙げたリスクを軽減するために「認証を強化したい」と考える企業ユーザーも多いだろう。統合ID管理を短期間に実現するのは難しいため、できるところから進めることになる。
そもそも破られにくいパスワードとは、どのようなものか。パスワードは、管理の不備以外では「周辺情報からの推測」や、辞書を使って一つずつ単語を試していく「総当たり攻撃」で盗まれることが多い。そのため、辞書に載っている単語、規則的な数字の羅列や、IDと同じ文字列などは避けるのが定石だ。アルファベットの大文字/小文字、数字や記号を混在させるとさらに破られにくくなる。実際、そういうポリシーで運用する企業ユーザーは少なくない(図2-2)。
図2-2●企業ユーザーが導入しているID/パスワード管理の対策やポリシー
第1回の図1-1で挙げたのと同じモニター調査を基に、導入済みの対策を割合で示した(複数回答)。パスワードに使える単語や文字列の制限、ログ管理などは案外実施されていない。
とはいえ、複数の種類の文字を組み合わせた無意味なパスワードは覚えにくい。自分だけが知る情報を基にして、一部の文字を規則的に数字に置き換えたり、パスワードの冒頭や末尾に記号を足したりするのがお勧めだ。
けた数については、理論上は長ければ長いほど破られにくいが、覚えられなければ意味がない。そのためか、モニターアンケートではパスワードを6けた以下ないしは8けたにしている企業ユーザーが多かった。「一般にパスワードは4けた、8けたなど偶数に設定されることが多い。推測によるパスワード破りを防ぐためには、11けたなどあまり使われないけた数にしておくほうが有利だ」(S&Jコンサルティングの三輪信雄社長)。これは、クラウドサービスを利用する場合でも、リモートアクセス用でも通用する考え方だ。
