セキュリティ業界では、常識だと思われているが実はそうではない「セキュリティの非常識」がたくさんある。
そこでセキュリティリサーチャーである、インターネットイニシアティブ(IIJ)の根岸 征史氏、ソフトバンク・テクノロジーの辻 伸弘氏、セキュリティ情報ブログ「piyolog」を運営するpiyokango氏の3人に集まっていただき、今みんなに知ってほしい「セキュリティの非常識」を熱く語ってもらった。今回のテーマは、「パスワードと情報公開の非常識」だ。
根岸:これまでパスワードは複雑であることがよいとされ、例えばWindowsでは「英字の大文字と小文字、数字、記号の4種類のうち、3種類以上使う」ことが推奨されていました。しかし現在では、このような要件を廃止するようにガイダンスを出しています。米国国立標準技術研究所(NIST)のガイドライン(SP800-63)も改訂され、複雑性を要求しなくなりました。趣旨は、「覚えにくいパスワードをユーザーに要求するな」です。
辻:ガイドラインは2017年に変わったばかりですね。
根岸:なので新しい常識は、「パスワードは覚えやすい単語を複数使って長くする」になるでしょうか。文字種の制限を付けるとユーザーは覚えにくいので、単語一つを使って、先頭を大文字にして最後に「!」と数字だけを付けて終わり、という決まったパターンのパスワードを設定しがちです。これだと脆弱なパスワードになりやすい。多くの文字種を使ったランダムな文字列を設定すれば強度は高くなりますが、覚えにくいパスワードを求めるのはよくありません。
辻:このパターンを使っている人は、最後の数字を1、2、3、…と変えてパスワードの種類を増やしていくんですよね。ただ、先頭が大文字で最後が数字というパスワードが、絶対に悪いわけではないと思います。人と違うパターンにするなら使ってもいいでしょう。
