なぜパスワードに数字・記号を強制すべきでないのか

　今年３月に総務省が「国民のための情報セキュリティサイト」から「定期的にパスワードを変更しましょう」という記述を削除したことを契機として、「パスワードの定期変更は不要」との報道が相次ぎました。

「国民のための情報セキュリティサイト」　では「定期的な変更は不要」の根拠として、米国国立標準技術研究所（NIST）の「電子的認証に関するガイドライン(SP800-63B)」に「パスワードの定期的な変更を要求すべきではない」旨が記載されたことをあげています。

　実は、NISTのガイドライン(SP800-63B)には、「パスワードの定期的な変更を要求すべきではない」以外にも、従来は有効とされていた指針から大きく変更されたものがあります。それは、

　というものです。これはどういうことでしょうか？今回はこの「パスワードの複雑さの要件を課すべきではない」という指針について考えてみます。

　まず、最初に確認しておきたいことは、NISTのガイドライン(SP800-63B)は、サービス提供者向けのガイドラインで、サービスの利用者を対象にしたものではないということです。NISTのガイドライン(SP800-63B)は、サービス提供側がサービス利用者に対してパスワードに有効期限を設けて強制的に変更させることや、小文字・大文字・数字・記号を混在させる複雑さの要件を強制すべきではないというものであり、サービス利用者自身がパスワードを変更したり、記号などを混在させたパスワードを使用したりすることを制限するものではありません。

　また、同じ桁数のパスワードならば小文字のみより、小文字・大文字・数字・記号を混在させたパスワードの方が、総当たりのパターン数が多くなり、強度が高いという理論に間違いがあったわけではありません。

　例えば、小文字（26種類）のみ7桁のパスワードのパターンは26の7乗で、80億3181万176通りですが、小文字（26種類）、大文字（26種類）、数字（10種類）、記号（33種類）の(26+26+10+33=)95種類を使用した7桁のパスワードのパターンは、95の7乗で、69兆8337億2960万9375通りとなり、小文字・大文字・数字・記号を混在させたパスワードの方が総当たり解析に時間が掛かるのは、理論上はその通りです。しかし、実際の利用者はそのような理論通りのランダムで複雑なパスワードを作成することはなかったのです。

パスワードの複雑さの要件を強制するとどうなるのか？

　パスワードの複雑さの要件を強制すると、利用者はどのようなパスワードを作成する傾向があるのでしょうか？NISTのガイドライン(SP800-63B)でも参照されている2つの研究論文から、それらを見ていきましょう。

　1つ目の論文は、フロリダ州立大学などの研究者によるTesting Metrics for Password Creation Policies by Attacking Large Sets of Revealed Passwords(多数の流出したパスワードを攻撃することによるパスワード作成ポリシーの評価基準)です。この研究では、SNS向けアプリ開発のRockYouから流出した3200万件のパスワードなどから、利用者がどのようなパスワードを作成する傾向があるかを分析しています。

　分析の結果、以下のような傾向があることが判明しました。… 続きを読む