« マイクロソフトが公共施設やネット・カフェの共用パソコンを安全にするツール「SCT」を無償配布 | メイン | 真鍋かをり がセキュリティ対策のアドバイスをするWebサイト »

あなたのパスワード、ヘボヘボですから?残念!

2002年に開催された「セキュリティ・スタジアム」でお目見えした
話題のパスワードチェッカー「認術大会」が無償配布された。
パスワード教育用フリーソフトウエア 認術大会 ver1.0

あなたが使っているパスワードが本当にヘボヘボかどうか、
この「認術大会」を使って試してみるといいだろう。

まずは筆者が当時書いた記事をここに再掲しておこう。
http://www.itnavi.com/mag/Vol048.htm

WPC EXPO 2002 内で行われたイベント セキュリティスタジアムの一角に、パスワ ードの脆弱性をチェックするコーナーがあった。

あなたのパスワードは何点?――脆弱度チェック・コーナーで確認

技術者の技術が激突する「セキュリティ・スタジアム」が開催


 このツールを作成したのは、日経ネットワークセキュリティにも記事を書いてい
るセキュリティ研究グループ SecurityFriday.com だ。

このツールに、みなさんが普段使っているパスワードを入力してみると、おそらく
このような画面「弱すぎです」が表示されることだろう。

あまりにも、へぼすぎるとマイナス100点が出ることもある。単純に、数字や記号、
大文字が混ざっているか、長さが十分かだけでなく、解析ツールJohn the Ripper
の解析アルゴリズムに基づく評価を行っているようだ。

それは出現頻度リストの後ろの方の文字を必ず組み入れることで、点数が上がるこ
とから推測できた。10文字程度のパスワードでも、400人中4位に上がることができ
たからだ。

日経ネットワークセキュリティの記事に掲載されていた出現頻度リストは、このよ
うになっている。(実際には文字位置によって変わる)
earoinstlcmd1uhpbgyk2fw30594vj76S8zABMCRxTDEPLNHJGKFOlgW!YVU.Z$*Q_X@%#-&?^
(;)/'+~,=[]:<>`{|}"\

そこで セキュリティフライデイの方に聞いてみた。多くの人が記号を多用したパ
スワードを使うようになった場合、解析ツールの解析アルゴリズムが変わる可能性
があるのでは?という質問に対し、「統計的にも出現頻度リストが、大幅に変わら
ない限り有り得ないだろう。」と答えた。

右側に順位のリストが表示されるなどゲーム的な要素もあり、セキュリティ教育に
も使えるツールなので、是非リリースして欲しいものだ。

 パスワード認証は、人間の記憶に頼らなければならないことや、キーボードによ
る入力では 100文字などという長いパスワードを使うことは現実的ではない。脆弱
であるとわかっていながら、今日まで日常的に使われてきたのだが、最近では、IC
カードやUSBなどの認証デバイスやバイオメトリクス認証など、パスワード認証に
取って代わる手段が徐々に普及しつつある(PINコード入力など一部パスワード的要
素は残るが)。パスワード認証は、近いうち、これらの手段に取って代わるのでは
ないかと聞いたところ、バイオメトリクス認証に関しては否定的であった。セキュ
リティフライデイの方は「バイオメトリクス認証には指紋認証や虹彩認証などがあ
るが、欲しい情報の価値が高ければ危険だ。海外では情報を得るために、腕を切り
落としたり、目をくり抜いたりする事件も起きている。」と語った。

もはやパスワードだけに頼った認証は時代に合わなくなってきている。
せめて少しだけでも工夫して、強いパスワードを使ってもらいたい。

「認術大会」の無償配布によって、パスワード認証の脆弱性に気付く人が多くなることを願ってやまない。

■関連記事
パスワードの強度を競いながら学べる教育向けソフト「認術大会」
パスワード強度をゲーム感覚で競い合うソフト「認術大会」無償配布
パスワード教育ソフト「認術大会」,セキュリティフライデーが無償公開


トラックバック

このエントリーのトラックバックURL:
http://itnavi.net/cgi/mt/mt-tb.cgi/200

コメントを投稿

(いままで、ここでコメントしたことがないときは、コメントを表示する前にこのブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)

セキュリティ情報ディレクトリ
セキュリティ総合情報館。最新情報とアプリケーション別脆弱性情報。

IT(情報技術)NAVI
IWindows、Linux活用記事、オープンソースソフトのインストールガイドやFAQ。

IT革命
IT関連ニュースブログ。業界のトレンドをキャッチせよ。

グループウェア LacoodaST
成長企業のためのユーザ定額グループウェア。