【情報セキュリティ回#18】「複雑なパスワード」「定期的なパスワード変更」は時代遅れになる

９月末のアメリカの記事でNIST（アメリカのセキュリティ専門の国の機関）が決めたこととして紹介されてます。概要は、

今となっては
・複雑なパスワード
・強制的なパスワード変更
は、最適（ベストプラクティス）では
ありません。

って内容です。

NISTって、とても権威がある機関です。
その機関の発信なので、
影響力は相当なモノ。

引用元は、以下の記事です。

NIST Scraps Passwords Complexity and Mandatory Changes

いままでって一体…

って思った人も多いですよね。

日本企業内のパスワードの設定ルールなんか、

アメリカが最適ではない、って言うけど
「最適ではない」内容のまんまなところって
多いのではないでしょうか。

ひとつ見落としてはいけない視点があります。
それは、

昔はよかったんだけど、
時代の変化や技術の進歩を理由に、
今の時代ではよくなくなった

ってこと。

なので、いままではそれでよかった。
なんです。何も悪くないんです。

今の時代にそぐわないから
変えましょう。

って発表したことになります。

昔にはない、今の脅威について

今の時代ではだめになった
大きな脅威は、次の２つ。

①IT機器の処理能力の劇的な向上　と、
②クラウド利用増によるパスワードの数の爆増

です。１つずつ解説します。

①IT機器の処理能力の劇的な向上

は、もうちょっと掘り下げると、

パソコンやスマホの処理能力は、
数十年前のスパコン並。
ネットワーク通信量の増加に耐えられる
通信環境が整備されました。

これにより、

IDさえわかってしまえば、
パスワードは総当たりで
短時間で大量に確認することで
突破できてしまいます。

【ご参考】総当たりとは、
1,000のパターンがあれば1,000通りを、
１つずつ確認していくことです。

数字とアルファベットを組み合わせると、
０～９とA～Zの３６通り。
アルファベットの大文字小文字を区別すると
６２通り。
！とか％の記号を合わせても、１００通り程。
１００通りが８ケタは、１００の８乗＝１京。
１兆の１万倍です。

2024年のCPU は、１つ（１コアと言う単位）あれば、１秒で1兆ものの処理ができる性能のものが普通にパソコンとかスマホについてます。
１６コアだと、✕１６倍＝１６兆もの処理が
１秒でできます。
ということは、８ケタのパスワードは、
１京÷１６兆/秒＝625秒＝約10分程で
全て総当たりで確認でき、パスワードがバレちゃう計算です。

もちろん、理屈上です。
実際は、１兆もの通信が１秒間であった時点で、ネットワーク機器とか監視ツールが
「怪しい」と気づいて対処します。

上記の計算で、カンのいい方は気づいたと
思いますが、
パスワードの複雑さよりは
桁数の長さがキモになってきます。

②クラウド利用増によるパスワードの数の爆増

については、こんな経験ありませんか？

クラウドのアプリの大半が、Webアプリ。
Webアプリは、Webブラウザで
認証の処理を行います。

【Webアプリは１つずつ
　パスワードを分けること】

というルールを設けてる企業は
割と多いです。

つまり、Webアプリが１増えたら
パスワードが１増えます。

上記の対策として、
社内のアプリとクラウドのアプリの
IDパスワードを一元管理するサービスも
出てきてます。

上記を利用すると回避できるのですが、
企業規模が大きくなるほど、
利用人数が増えて、
利用量が高額になる。

って状態になります。
「高額」ってどれほどかというと、
会社によっては社長など役員クラスの
決裁が必要な額。

経営陣に、IDパスワードの一元管理による
費用対効果を求められたら…

正直困ります。

なレベルの決裁判断伺いになりますので、
回避したい気持ちもすごくわかります。

となると、パスワードを各自が覚えるしかない。

管理するパスワード数が増えるほどに
起こること。それが、

パスワードの単純化

です。

情報システム部門が忌み嫌う
１２３４５６
とか
パスワードの英字
とか

の文字列に、何か１文字足して
重複しないようにしがち。

そうでないと、覚えられないんですよね。

毎日使うシステムでなければ、
パスワードは間違いなく忘れます。

じゃあ、どんなパスワードがいいのか

冒頭紹介した外部リンクの記事の続きに
書いてるんですが、

15文字～64文字の長いパスワード

が推奨されてます。

①IT機器の処理能力の劇的な向上
の解説に関連するんですが

長ければ長いほど、IT機器での計算でも
時間がかかるようになります。

パスワードが１文字長くなるだけで、
時間は１００倍、必要になります。

現状のスパコン並みのパソコンが登場する
時代になったら、

もっと長いパスワードが求められるのでしょう。

そうなると、もはや
ファミコンのドラクエ２の
「復活の呪文」
です。

何が起こるかはお察しの通り。

記録や記憶が間違えてて
ログインできなくなります。

こうなる時代がほんとに来たら、
きっとパスワードという存在が
世の中からなくなるでしょう。

別の認証技術を使った本人確認に
変わっていくのだと考えられます。

―――――――――――――

時代は変わります。

昔はよかった、とかではなく
今の時代にあった仕組みやルールにしないと

何を守るための仕組みなのか
何を防止するためのルールなのか

がわからなくなります。

時代に沿った変更を行うのは
勇気はいりますけど、
リスク抑止の観点では間違いなく必要です。

それをできる役割と権利がある人が

「前例がないから決められない」

っていうのなら、あえて厳しめに書くなら、
職務怠慢
と指摘されて仕方ない、とさえ言い切ります。

時代遅れの施策が理由で
リスクが現実のものになるのは。
とても心が痛いです。

回避できる人が回避しましょう。
それが、次の時代に大きく"開花"します。