先日、パリに遊びにいった時に、大きなリュックを背負った日本人若者が声をかけてきた。話を聞けば、「日本で作ってきた xxx Bank のキャシュカードでお金をおろそうとしたところ、 ATM マシンにカードを呑み込まれ、お金がないので少し用立てて欲しい」とのこと、”新手のたかりか?”と疑って見たものの、同じ日本人、カード会社に連絡する電話代ぐらいは必要と思い少し用立てた。
彼は、多分カードの暗証番号を 3 度打ち間違えたに違いない。 ATM は基本的にカードと 4 桁パスワードがあれば、お金を下ろすことができる。ただし、一定期間内に 3 回パスワードを間違えると、カードは ATM 機械が没収する仕組みになっている。万が一パスワード忘れたら(たまにいますよね)、銀行にいって " パスワード教えてくれ!”って言ったってパスワード管理は厳しく、カードを発行している銀行でさえパスワードはわからないということになっており、カードの再発行手続きが必要となる。
このように銀行が厳重にパスワード管理をする意味は、 4 桁パスワードの貧弱性にある。キャシュカードの場合、数字 0 から 9 で 4 桁でたった 10000 通りしかないのである。しかも、誕生日や結婚記念日といった忘れにくい数字の組み合わせになっていることがほとんどで、財布に免許書とキャシュカードを一緒に入れて持ちあるくなんて論外である。つまり 4 桁パスワードはセキュリティでも何でもなく、キャッシュカードがあなたの物であるという確認をしているだけである。
3 回という制限も、本人であれば 3 度も間違わないであろうという経験値と第三者が何のヒントも無しに 3 回で 4 桁パスワードを解読することは難しいであろうという発想からである。
つまり、キャシュカードのセキュリティはパスワードを 3 回間違えるとカードを没収するということで確保されているのである。
リュックを背負った若者が、「不便ですよねぇ」と嘆いていたが、まあ自分の財産を守ってもらえているということを実感するべきと思ったりした。
では、皆さんの会社の PC のパスワードはどうだろう?メールのパスワードは? Word や Excel で作成した社内の重要な資料にパスワード設定されていますか?ほとんどの場合”不便”という理由だけで、簡単なパスワードが設定されていたり、ずーと同じパスワードを使っているんじゃないですか?
PC へログインする際のセキュリティはパスワードだけで管理されていおるのが一般的で、せめて、 8 桁以上のパスワードと簡単なフレーズは使わないようにしていただき、定期的にパスワードの変更を行うようにお勧めする。(あっ、でもこれWindows 98 や Windows ME じゃあ意味ないです、ご存知のようにキャンセルしてもPC利用できますから)
いやそんなこといっても”面倒だとおっしゃる貴方、ちなみに Word や Excel でファイルにパスワードをかけて私にメール( q_and_a@exlayer.co.uk )へ送ってください。設定されたパスワードを解読しちゃいますから ^^
4 桁ならはっきり言って 5 秒以内で判明しますよ。 5 秒以内!
私ちなみに 28 桁のパスワード利用してますが、これも**で解読可能。
なぜこんなことができるかって?それは、リカバリーソフトと言う名目で各種のパスワード解読ソフトが販売されているのである。ハッカーじゃないとできないってことはないのです。こういったツールを知っていいれば誰でもできることです。
本当に重要な資料のパスワードが分からなくなって、 IT 部門に駆け込んでくる部長さんがいて、パスワード解読しないと怒鳴られちゃうんですよね。 ” IT 担当者はつらいよ”
パスワード解読の仕組みには次の二つがある
1. 辞書アタック
事前に準備された辞書ファイル(テキストファイルで Internet 上に散乱している)を用いてパスワードの解読を行う、人名や有名なフレーズさらによく使われるパスワード等が辞書に含まれる。辞書にパスワードが含まれる場合、解読までの時間は非常に早い。
2.Brute-Force アタック
所謂、総当り攻撃といわれる手法、パスワードの桁数を設定しておけば、全ての組み合わせを順番にトライする。今の PC の性能を持ってすれば、 8 桁パスワードでも一時間以内で解読してしまう。パスワードのみのセキュリティは Brute-Force アタックの前では無力化してしまう。
何れの方法も既に多くの攻撃ツールが出回っている。
パスワードアッタク攻撃に対抗するには次の点に注意するべきだ。
1. 個人情報に関係する情報は使用しない
2. 辞書に載っている単語は使用しない
3. 数字や記号を混在させる
4. 文字数は 8 文字以上
5. 定期的に変更する
6. ミス入力するとアカウントをロックする。
パスワード管理は手間のかかる作業となるが、パスワードを破られたときの被害を考えると軽視するべきことではないのである。また、キャシュカードのようにパスワードと対になる、セキュリティデバイスの導入が効果的だ。
eTokenという小型のデバイスを USB ポートに接続し、その後パスワードを入力するという方法がある。軽くて小さく、例えば携帯のストラップやキーホルダーなどに付けて持ち運べるというメリットがある。それ以上にポイントが高いのは、「鍵」というアナログ的な発想を採用していることだ。これなら何とか面倒くさがりのユーザにも受け入れられるかもしれない。
つまりこれは、“オフィスや家の鍵と同じです。鍵がなければ家に入れないのと同じように、アクセスするときにはこれを必ずパソコンに差し込まなければいけません”と説明することで、パソコンの扱いに不慣れなユーザにもその用途と重要性を理解させるのだ。
また最近、バイオメトリックス認証を用いる、指紋認証型の製品が出回ってきている。瞳孔 / 網膜パターンや声紋による認証もでてくるのであろう。ただバイオメトリック認証にも弱点はあり、怖い話だが切断された指でも認識される可能性もある。いや〜、まさに 007 か Mission Impossible の世界だ。
もはや「セキュリティの強度か使いやすさか」という二者択で悩んでいる場合ではなく、「セキュリティの強度」と「使いやすさ」の両方を適度に兼ね備えたソリューションこそが必要となってきている。
(M Yamamoto 12th Dec 2004)