短い複雑なパスワードを使用する代わりに長いパスフレーズの使用を検討してください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭にある『パスワード』の話はこのブログでも何度か取り上げてきました。

では、『パスワード』の設定は何が望ましいのでしょうか？

FBIが勧めるパスワード設定

FBI（米連邦捜査局）が勧告している『パスワード』設定の根拠はNIST（米国立標準技術研究所）のガイドラインのようですが、それには大文字、小文字、または特殊文字（記号）を必要とせず、15文字以上の長いパスワード（パスフレーズ）を推奨するとされています。

これは、大文字、小文字、数字、特殊文字（記号）を使った『短いパスワード』よりはそうではない『長いパスフレーズ』の方が解読されにくいことを意味しているように思えます。

『パスワード』を複雑にし過ぎてしまうと『覚えにくい＝忘れてしまう』ということも多々あるため、覚えられる『パスフレーズ』を使った15文字以上の長い文字列を推奨しているのでしょう。

ただし、大文字、小文字、または特殊文字（記号）を使うなということではありません。

確率的に言えばそれらを混在させた方が良いとは言えます。

結果的に自分流の『法則』を作ってしまえば良いです。

FBI（米連邦捜査局）のサイトには以下のような例がありました。

『VoicesProtected2020WeAre』、『DirectorMonthLearnTruck』

このような例に加えて特殊文字（記号）を含めた『パスフレーズ』を作れば良いです。

ワードとワードの間に何かしらの特殊文字（記号）を入れるルールを自分で決めておけば良いです。

例えば、『Voices.Protected–2020@WeAre』といった感じに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今のサイバー情勢においてパスワードに『123456』を使っているのであれば情報漏えいしてもやむを得ないと思いますが、逆に、情報漏えいしにくいパスワードを設定している人達はどのようなパスワードを設定しているのでしょうか？

米国ホワイトハッカーのパスワード

パスワードは12桁程度の文字数では10分程度で解読されてしまうと言われていますが、米国のホワイトハッカー達はその2倍程度のパスワードを設定しているとされています。

そして、この覚えられないくらい長さのパスワードは米国の政府職員においても行われていると言います。

彼らは『パスワード』を『パスワード』ではなく『パスフレーズ』としてパスワード設定を行っているとされており、『フレーズ化』されたものであればある程度長くても自分の決めたルールであれば普通に思い出せるということです。

これ、米国のホワイトハッカーの間では23桁以上の文字数であれば良いと言われているようで、『パスワード』を『フレーズ化』した『パスフレーズ』にして運用しているようです。

もちろん、いくつもそういった『パスフレーズ』を作っているわけではなく、利用するサービスごとに一定のルールを付与して運用しているようです。

この方法は日本語をローマ字にした場合にはさらに強固になり得ます。

英語で『TheFirstDogIsJohn』というパスワードを日本語でローマ字にした場合、『1BanmenoInuhaJohnDesu』といった感じになります。

『いち』という部分に数字を使ったり随所に大文字を混ぜているのも有効な方法で、『わ』ではなく『は』をローマ字にしているのもポイントです。

これに利用サービスの一部の文字と記号を混ぜてあげればかなり強固なものになります。

『Yaho@1BanmenoInuhaJohnDesu』や『Raku@1BanmenoInuhaJohnDesu』といった感じでのようにです。

とは言え、日本においてここまで行われるようになるのは遠い先の話しになるのかもしれません。

それだけセキュリティ意識の低さを感じています。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、Wi-Fi（無線LAN）ルータにある機能で『SSIDステルス機能』というものをご存知でしょうか？

これ、セキュリティメーカーなどの解説を見ると『セキュリティ強度は上がらない。』と書かれていることがあったりしますが、それは全く意味がないということではありません。

ではどういう意味なのでしょうか？

Wi-Fiルータのステルス機能

『Wi-Fi（無線LAN）ルータのステルス機能は完全に秘匿できるのか？』と問われれば答えは『No』となります。

これは設計上の問題で、Wi-Fi（無線LAN）ルータのSSIDは常に電波に乗って通知されており、PCやスマートフォン、タブレットなどから”SSIDを入れて“接続を試みた場合はステルス機能が働いていても応答します。

ということは、完全には秘匿できていないことにはなります。

しかし、実際に接続するにはSSIDを知る必要があります。

ただし、周囲にどのようなSSIDが存在しているのかを調べることは技術的には出来てしまいますのでセキュリティ効果的に高いものとは言えないという意味になります。

ここを混同している場合が多いのではないでしょうか。

結論としては確率論の問題になりますので、むやみに公開しているよりは非公開にしておいた方が良いことは確かです。

従って、Wi-Fi（無線LAN）ルータのステルス機能は一定の効果はあるという答えになります。

また、認証方式には現状で最も強度の高い『WPA2』（WPA3はまだほとんど発売されていないため。）を採用し、暗号化方式にも『AES』を使い、パスフレーズもアルファベットの大文字・小文字、数字、記号を混在させた12文字以上のものを使うべきでしょう。

しかし、これに対して『パスワードの定期的な変更は不要』という考え方に変化してきています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

総務省の『国民のための情報セキュリティサイト』にある、『IDとパスワード　設定と管理の在り方』を紹介するページでは、『パスワードを複数のサービスで使い回さない（定期的な変更は不要）』という文言が出てきます。

これは以前の考え方から変化していますが、何故そのように変化したのでしょうか？

パスワードの定期的な変更は不要

一部のインターネット記事を見ると、これはNISC（内閣サイバーセキュリティセンター）の見解を受けて変更されたようです。

しかし、NISCも他での見解を受けて方針を変更したのではないでしょうか？

約1年程前、米政府機関である『NIST（National Institute of Standards and Technology/アメリカ国立標準技術研究所』が発行する『電子認証に関するガイドライン』の新版からルールを変更するとされていました。

（参考：電子的認証に関するガイドライン by NIST）

これは、ユーザーに新しいパスワードへの変更を求めてもいい加減に作る傾向にあり、特別な理由がない限りはパスワード変更を求めるべきではないという考え方が専門家の間でも増えてきたこともあります。

また、NISTでは定期的なパスワード変更を止める代わりとして、最低64文字でスペースも入れられる『パスフレーズ』を推奨するとしています。

では、パスワード設定はどのように行うか？

パスワード生成を自動で行ってくれるツールを使うと良いです。

このようなものを使えば、個人に関連する情報が一切含まれず、英字の大文字・小文字、数字、記号、文字数、強度などを選択しながらパスワード生成を行うことができますので、非常に解読されにくいものであると言えます。

（参考：パスワードジェネレータ/Norton by Symantec）

そして、これを適切に管理さえしていれば、推測されやすいパスワードの定期的な変更よりも適切なものであると言えるでしょう。