- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2020-01-22T17:43:14+09:00","","")
[[IPAセキュリティPT評価版]]
*パスワードに関する技術的な動向 [#k014502e]
認証に関するガイドラインは米国国立標準技術研究所(NIST)の電子認証ガイドライン(SP800-63-3)がよく知られています。NISTは、連邦政府システムの最小要件を含む情報セキュリティの標準とガイドラインを作成する責任がありますが、強制力や義務ではないとされており、連邦政府機関に技術的要件を提供するものと明確に記述されています。~
一方で、クレジットカード業界のセキュリティ規格であるPCIDSSはNISTの見解を反映させた新しいバージョンを2020年後半にリリースするとしており、SP800-63-3はデジタル認証の標準ととらえることができます。~
SP800-63-3では、以下の特徴的な改訂を行っています。
-システムがランダムにパスワードを決定する場合最低6文字(SHALL)
-ユーザがパスワード決定する場合は8文字以上(SHALL)
-以下の要件に該当するか比較し(SHALL)、その場合は、理由を説明し(SHALL)、他のパスワードへの変更を求める(SHALL)
--過去に漏洩した語彙集から得られるパスワード
--辞書に含まれる言葉
--繰り返しまたはシーケンシャルな文字(例: 'aaaaaa'、 '1234abcd')
--サービス名や、ユーザ名、そこから派生するようなものなど、文脈で特定可能な単語
--他の構成ルール(異なる文字種の組み合わせ等)を課すべきではない(SHOULD NOT)
-定期的変更は求めない(SHALL)
-危殆化した証拠がある場合は、変更を強制する(SHALL)
-パスワード強度メーターの推奨(SHOULD)
**ランダム6文字、ユーザー決定8文字 [#pc1c0aeb]
NIST SP800-63 (2006/4版、邦訳:https://www.ipa.go.jp/files/000025342.pdf)では、ランダムな94文字種から作成した6桁のパスワードのエントロピー(ばらつき強度)を39.5bitと推定しています。また、ユーザーが選択した場合は、94文字種で、辞書規則(5万語の辞書に掲載されていない)と組み合わせ規則(繰り返しやqwerなどの連続性の排除)を適用した場合のエントロピーを30bitと推測しています。~
一方で、ユーザーが規則の適用なしに自由に選んだ8文字のパスワードの場合、エントロピーは18bitと推測しています。このため、辞書やサービス名の使用を禁止したものと考えられます。
**定期的変更は求めない [#md789f0c]
2016年のノースカロライナ大学の研究で、10,000を超えるアカウントのパスワードの分析から、調査したアカウントの17%について、ユーザーの以前のパスワードを知っていれば、5回以下で現在のパスワードを推測できることが報告されています。これは、定期変更が求められた際に、文字を数字や記号に換えたり、記号を追加したり削除し、似通ったものを新しいパスワードとして登録する人が多いことを示しています。~
その結果、攻撃者にとって定期変更は障壁ではなく、かえって安全性を損ねるものという判断がなされました。~
