Accense Technology

アクセンスマガジン 第5号

危険な共有ID/良質なパスワードの条件とは

2015/04/03

こんにちは。アクセンスマガジンです。 最近、TwitterやLINEでのアカウント乗っ取り被害が世間を賑わせています。 これは、リスト型攻撃によって別のサービスからID/パスワード情報が漏れ、 同じID/パスワードでログイン可能なサービスが乗っ取られる、という問題のようです。 つまりはID/パスワードの使い回しが原因で不正ログインをされてしまうのです。

業務に使用するネットワークやシステムのアカウントでも同様で、ID/パスワードの使い回しはとても危険です。 ID/パスワードの使い回しをせず、そして手間も掛けずにセキュリティを確保する方法とは?

今回は、IDとパスワードに関する2つのトピックをお届けいたします。

危険な共有ID

みなさまは普段、業務において様々なサービスやシステムを利用されていると思います。 ログインに使用するIDとパスワードは個人に対して一つを発行するべきですが、 企業では、複数の社員が同じサービス・システムを利用することが多いため、 複数の社員で同じID/パスワードを使いまわす「共有ID」で済ませているケースを耳にします。 このような共有IDの利用はとても危険です。容易に想像できる事例から、共通IDが危険な理由をご説明します。

共有IDが危険な理由とは

一番の問題は、本人を特定することができないことです。

・ログイン履歴の問題 共通IDでは、「誰」がいつログインしたのかがわかりません。 情報が外部に流出していて、アカウントが不正に利用されても気づけないかもしれません。

・パスワード変更の問題 誰かがパスワードを変更してしまうと、本人以外はログインすることができません。 知らない間にパスワードが変更されていて誰もログインできなくなってしまうという問題が起こるわけです。

これらがもし、悪意ある者の操作だとしたら…。 情報漏洩事故や社内システムへの攻撃など、企業にとって大問題が発生した場合に、 「共通IDを知る誰か」の情報だけでは、原因の特定が難しくなってしまいます。

一見便利そうな「共通ID」ですが、このように危険なのです。 とはいえ、人数分のID/パスワードを作成・管理し、しかもそのシステムが複数あるとなると…とても手間がかかってしまいますね。 では共有IDを使わず、そしてあまり手間を掛けずにセキュリティを保つにはどうすればいいのでしょうか。

共通IDを使わず、手間を掛けずにセキュリティを保つには?

個々のサービスやシステムごとにID/パスワード情報を作成・管理するのではなく、 認証システムでID/パスワード情報を作成・管理し、どのシステムもその認証システムに問い合わせるという方法であれば、 手間をかけることなく、安全にユーザの管理が行えます。

以下に、それぞれシステム利用者として100名登録されている場合の例でご説明いたします。

各システムごとにアカウント情報を管理している場合

【図1】だと、社内にたくさんあるシステム一つ一つにID/パスワード情報を管理する必要があるので、 システム管理者の手間が大きく、「共通ID」のような発想になってしまいがちです。

認証システムを利用する場合

【図2】のように認証システムを導入すると、ID/パスワード情報を一箇所で管理できます。 新社員のID/パスワードを作成する場合も、定期的にパスワードを変更する場合も、 一箇所の管理だけで、全てのシステムのログイン情報が変更されることになります。 更に、認証システム側でログが残るので、「誰が、いつ、どのシステムにログインしたのか」 という情報も一箇所に集めることができます。

共有IDの利用は、玄関先に鍵が下がっているようなものです。 利用者の識別ができないような運用は避け、適切な管理を行いましょう。

良質なパスワードの条件とは

比較的安全とされるパスワードの条件は、桁数が多く、大文字小文字、可能であれば記号も含むものと言われています。 これは総当たり攻撃(ブルートフォースアタック)と呼ばれる攻撃の被害にあわないようにするためです。 この攻撃は意味のある単語や文字列の組み合わせをコンピュータによって自動化し次々に試していくので、 パスワードは出来る限り意味のある単語は避けランダムな文字列が安全です。 そういった意味ではパスワードに日本語が使えるといいのかもしれませんが、 実際に日本語を使うとなると文字コードによって値が変化してしまったり、変換しながらの入力が面倒、 また入力中に端末に入力文字が表示されてしまうなど様々な問題がありほとんど使われていないようです。

余談ですが、パスワードの桁数はどれくらいが適切なのでしょうか? 長すぎるパスワードはシステムによって知らない間に切り捨てられていたりとなにかとトラブルを引き起こしがちですが、 なんとRADIUSにおいてはRFCで128オクテット(128バイト)まで許されているのでとても長いパスワードでも使えます。 とはいえ、あまりに長すぎるパスワードは管理コストや入力の手間もあるので、 やはりパスワードの長さは8桁〜16桁程度が良さそうですね。

一覧に戻る
アクセンスマガジンは、アクセンス・テクノロジーの最新の情報発信の場です。
  • RADIUS専門メーカーならではの、RADIUSに関する「豆知識」「活用方法」「技術解説」
  • アクセンス技術メンバーによる開発小話
  • 市場の流行りのトピックに関連した情報
などを不定期で発信しています。

メールマガジンを購読する

記事はメールマガジンでも配信しております。
更新情報をチェックしたい方は是非ご購読ください。

購読する