よいパスワードの典拠をもとめて

• JPCERT
  • 12文字以上
  • 大変なら無理に記号までいれなくてもよいです。そのかわり長くしましょう
  • https://www.jpcert.or.jp/pr/stop-password.html
• NISC
  • 英語大文字小文字、数字、記号混在で10文字以上
    • NISCのハンドブックの handbook-all.pdf p.22、p.30 など

よいパスワードの作り方についての資料探索の旅

使いまわさないとか、多要素認証が使えるなら使うべきというのは当然なのですが、とりあえずパスワード認証しかしていない(できない)場合に、パスワード強度は最低どれくらいにするべきなのでしょうか？その推奨強度を具体的に推奨する資料を探しました。ようするに水戸黄門の印籠がほしいということですね:-)

ざざっとみたところ、JPCERTとNISCの資料が具体性が高いようです。

• JPCERTのSTOP！パスワード使いまわし！キャンペーン2019

  • https://www.jpcert.or.jp/pr/stop-password.html
  • 「TIPS1: 安全なパスワードを設定しよう」を簡単にまとめると、こうなりますね
    • 安全なパスワードの条件
      • 12文字以上
      • いろいろ組み合わせると強くなるので推奨
      • 生年月日や 1qaz のようなありがちなものは使わない
      • 使いまわさない
    • 英小文字＋数字だけの12文字でも十分強度と考えられる
      • ここの脚注では、IPA の情報漏えいを防ぐためのモバイルデバイス等設定マニュアルを参考資料にあげています
    • 意味の通らない文字列を覚えるよりも、記憶しやすいものを並べて長いパスワードを作る方が強くなるので推奨
      • 例: 英単語 + ローマ字 + 絵単語 + …(長くなるように続けていく)

• 総務省

  • 社員・職員全般の情報セキュリティ対策
  • この中の安全なパスワード管理には、定番のガイドラインが書かれています。
  • しかしながら、具体的に最低何文字などといったあたりまで書いてくれません。
  • パスワードの定期は不要という話については、NISCのハンドブックを見てくださいとあります。

• IPA

  • 情報漏えいを防ぐためのモバイルデバイス等設定マニュアルでは、パスワード強度チェックを通過したものを使ってくださいとあるのですが、決定版というものは書いてなくて、実践として例にでてくる各OSやスマートフォン付属のチェッカを使ってくださいという書き方ですね。
  • 参考資料: 2008年9月分の状況という資料の表1-1に「パスワードの最大解読時間」というデータがあります。

• NISC

  • 英語大文字小文字、数字、記号混在で10文字以上 p.22, 30など
  • NISCのハンドブック

少し計算してみましょう

• IPAの2008年9月分の状況という資料の表1-1は「パスワードの最大解読時間」つまり、どれくらいで破られそうか？を計算した表です。
• いや、今や当時よりさらにPCのコストパフォーマンスがあがり、かつ並列処理できるので、二桁くらい余裕が無いとダメでしょうか？
• 速度が2008年度当時の1,000倍(つまり解読時間を1,000分の1)と仮定すると、
  • 8桁では1年で解けてしまいます
  • 10桁は、英数字まぜこぜで200年、記号まで入れれば1万年くらいかかります。NISCのハンドブックは万年くらいかかる強度以上を推奨しているということですね
  • 12桁の英数字まぜこぜ(記号なし)は、77万年なので、十分推奨できますね