パスワード認証は限界か？　誤解と攻撃の現状--HASHコンサルティング徳丸浩氏

なぜパスワードが利用され続けてきたか

　基調講演に登壇したのは、HASHコンサルティングの代表取締役社長である徳丸浩氏だ。講演タイトルは「パスワード認証をとりまく現状と今後の対応について」。この講演では、セミナーの根幹である「パスワード認証は限界にきている」という実情が解説された。

HASHコンサルティング
代表取締役社長　徳丸浩氏

　「パスワード認証がなぜ使い続けられているかといえば、優れているから」と徳丸氏は言い切る。長く使われてきている分だけ多くの人がすでに使い方を知っていて、教育コストはきわめて低い。また特別なハードウェアを必要としないため実装コストも低く、展開も容易だ。

　そして、限界に来ていると言われてはいても、パスワードの桁数を増やすだけで強度が向上させられる簡便さもポイントとなる。徳丸氏はポストパスワード認証と呼ばれるものを並べて、パスワード認証よりも良い部分と悪い部分とを比較。多くの認証方式がユーザビリティと展開性においてパスワード認証に劣っていることを解説した。

パスワード認証が使い続けられる理由
※クリックすると拡大画像が見られます

攻撃手法とパスワードに関する多くの誤解

　しかし、実際にパスワード認証が破られる被害は多くある。徳丸氏はどういう形でパスワード認証が破られるのか、漏洩のパターンや攻撃者の行動を解説した。

　解説されたのは、辞書攻撃、パスワードリスト攻撃、ジョーアカウント探索や逆総当たり攻撃といったパスワード試行のバリエーション、フィッシング攻撃、ウイルスによるパスワード漏洩、退職者など過去の管理者からの攻撃など、メジャーなものからあまり知られていないものまでを丁寧に解説。それぞれについてシステム運営者側ができる対策についても触れた。

オンラインクラックのパターン
※クリックすると拡大画像が見られます

　さらに「パスワードは大変身近なものだけに誤解も多い。誤解を解いておかないと正しい対策ができない」として、パスワード認証に対する誤解についても解説された。特に大きな誤解として指摘されたのは、オンラインクラックとオフラインクラックの混同だ。

　オンラインでさまざまな試行をするオンラインクラックと、パスワード情報を盗んでから攻撃者が手元で作業するオフラインクラックでは考え方が全く変わってくる。

　特に大きな誤解となっているのは、コンピュータの性能が向上したことでパスワードは簡単に破られるようになったという認識だ。徳丸氏は引用されることの多いIPAの資料から「英字＋数字＋記号で作った6桁のパスワードが約54日で解読される」というものを抜き出して解説。「54日で総当たりするためには1秒あたり約14万回の試行が必要だが、ウェブサイトで1秒間に14万回のパスワードトライができるかというと、そういうサイトはめったにない。前提がおかしい」と指摘した。

パスワード認証に対する誤解の数々
※クリックすると拡大画像が見られます

「IPAの資料にある数字もオンラインクラックと考えると現実的ではない」（徳丸氏）
※クリックすると拡大画像が見られます