クラウドサービスへの攻撃が続いている。米エバーノートは2013年3月、Evernoteサービスに対する組織的な攻撃があり、メールアドレスや保護されたパスワードといったユーザーアカウント情報へ不正にアクセスされたと発表した。事業者は今やアカウント情報が漏洩することを前提にきめ細かな管理を求められる時代になった。

 エバーノートの事件では情報管理サービス「Evernote」の保護された領域に対する組織的な攻撃が試みられ、ユーザーID/メールアドレス/保護されたパスワードといったユーザーアカウント情報が不正にアクセスされたという。対策として同社は、Evernoteサービスにおける全ユーザーのパスワードをリセットした。

 前回説明したようにクラウドサービスのユーザーアカウントは頻繁に狙われるようになっている。クラウドサービスや電子商取引サイトなどの事業者は、これまでより強固にユーザーアカウント情報を保護する必要がある。

 対策の一つは、USBキーや乱数表をパスワードと組み合わせる多要素認証技術の採用だが、現状では多くのクラウドサービスや電子商取引サイトがユーザーIDとパスワードによる認証方式を採用している。今回は、現状を前提に事業者がパスワード情報の管理を強化する方法を説明しよう。

二つの対策で管理を強化

 パスワード情報の管理強化策は、大きく分けて二つある。一つは、ある程度長く複雑なパスワードをユーザーに設定してもらうことだ。もう一つは攻撃によってパスワード情報が漏洩した場合でも解読不能にすることである。

 一つ目の対策は不可欠だが、過大な期待はできない。あまりに長く複雑なパスワードを強制すると、ユーザーはパスワードを紙にメモしたり、覚えたパスワードを使いまわしたりする。かといって「1111」のような単純で短いパスワードは論外でシステム上許容すべきではない。後述するように、パスワード情報が漏洩したとき、単純で短いパスワードは解析されてしまうという問題がある。10桁以上で、英数大文字小文字に記号を加えてもらうのが望ましい。記号をパスワードに加えられない場合は、許可するようにシステムを改善すべきだ。