2012年11月24日

パスワードの定期的な変更について

「パスワード 定期的 変更」でググればメリット・デメリットについての詳細な話はいくらでも出てくるんで、違う方向性の話。
と言いつつその辺の事も含むんですが。
主は運用に関する備忘録。

パスワードの定期的変更を実施している企業では、是非以下の項目についてアンケートを取って貰いたいものです。
・英大文字、英小文字、数字を混在させているか
・設定しているパスワードの桁数はいくつか
・他人が推測出来ないものになっているか
・単語をそのまま使用していないか
・他のパスワードを使い回していないか
・形に残していないか
全項目問題無い人の割合は果たしてどの位か。
1割も居ないんじゃなかろうかと。
定期的変更による典型的な欠点。
まさに本末転倒。
「定期的に変更しろ」としか言わない所はこういった状況に陥ってると思う。
全国レベルの大企業ですらそんなもんでしょう。
少なくとも1社存在しているのは確認済。

パスワードに絶対安全は無いし、計算機の性能は向上に伴い同桁数に対する攻撃に必要な時間は減っていく。
ランダムな文字列を使用しても、すぐにヒットする事もあれば理論値に近い時間が掛かる場合もある。
そこはどうにもならない。
重要なのは、どうやって必要条件を満たせるような運用を行うかという事と、そういった攻撃に対してどのような策を講じるか、だと思うのです。
対策については正直実用レベルの知識は持ち合わせていないので具体的な事は書けないですが、とりあえず何らかの監視を行って、不自然なアクセスを検知するしかない気はします。

さて運用について。
設定可能であれば入力可能回数を制限する。
前述の項目を全てクリアしているなら、これでヒットする確率はほぼ無い訳で。
しかし設定可能とは限らないので、そういう場合は時代に合わせた最低桁数を設定する事は重要でしょう。
具体的な桁数は適当にググれば出てくると思うので割愛。

実際に定期的な変更を求められていて、且つ前述の項目をクリアする為の方法。
既にやってる人にとっては今更でしょうし、もっと良い方法もあるかも知れないですが、まあそれはそれ。
実用に耐えれば何でも良いのです。
パスワードを定期的に変更させる当たって担当者が本当にするべき事は、その方法を周知する事だと思います。

まず、頭の中にベースの文字列を用意します。
これは文字種混在の条件を満たしていること。
この時点でランダムである必要は無し。
 例)Password2012
次に、各文字に対して1から桁数まで重複しないようにランダムに振り、これを手帳なりなんなりにメモします。
 例)4,7,3,12,5,9,11,1,2,8,10,6
後は1から順番に並べ替えたものをパスワードとして設定します。
 例)srs2w21Pad0o
これならベースの文字列が他人から推測出来るもので無い限り、メモを見られた所でどうという事はありません。
世代管理も出来るし、持ち歩きも可能。
必要なら別の紙に書いて使用後はシュレッダーに掛ければよろし。

毎日のように使う環境ならともかく、今行ってる所は行程によって作業場所が変わってしまうので、何か良い案はないかなーとたまに考えてたんですが、ふとこの方法に至った(というか、過去に似たようなのを見た記憶があったりはする)ので、忘れないようにメモとして残して置こう、というもの。
こうやって書いておくと頭に残るから、見返したりはしないと思うんですが。


量子パスワードとかは考えません。
実用出来なければ論じる意味はありません。
それはそれとして量子パスワードでググると、関連する検索キーワードに佐野量子が出てくるのはどうかと思う……。
posted by ちはやふづき at 07:35| Comment(0) | TrackBack(0) | IT