短い複雑なパスワードを使用する代わりに長いパスフレーズの使用を検討してください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭にある『パスワード』の話はこのブログでも何度か取り上げてきました。

では、『パスワード』の設定は何が望ましいのでしょうか？

FBIが勧めるパスワード設定

FBI（米連邦捜査局）が勧告している『パスワード』設定の根拠はNIST（米国立標準技術研究所）のガイドラインのようですが、それには大文字、小文字、または特殊文字（記号）を必要とせず、15文字以上の長いパスワード（パスフレーズ）を推奨するとされています。

これは、大文字、小文字、数字、特殊文字（記号）を使った『短いパスワード』よりはそうではない『長いパスフレーズ』の方が解読されにくいことを意味しているように思えます。

『パスワード』を複雑にし過ぎてしまうと『覚えにくい＝忘れてしまう』ということも多々あるため、覚えられる『パスフレーズ』を使った15文字以上の長い文字列を推奨しているのでしょう。

ただし、大文字、小文字、または特殊文字（記号）を使うなということではありません。

確率的に言えばそれらを混在させた方が良いとは言えます。

結果的に自分流の『法則』を作ってしまえば良いです。

FBI（米連邦捜査局）のサイトには以下のような例がありました。

『VoicesProtected2020WeAre』、『DirectorMonthLearnTruck』

このような例に加えて特殊文字（記号）を含めた『パスフレーズ』を作れば良いです。

ワードとワードの間に何かしらの特殊文字（記号）を入れるルールを自分で決めておけば良いです。

例えば、『Voices.Protected–2020@WeAre』といった感じに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭に書いた通り今日から『ドコモ』、『au』、『ソフトバンク（Y!mobile）』から他キャリアへ送信可能なSMS（ショートメッセージサービス）の文字数が全角70文字から全角670文字に拡張されます。

しかし、これに疑問を感じる方はいないのでしょうか？

SMSが670文字に拡大される時代錯誤

これだけIT技術の進化や通信インフラが整備され、かつ『定額通話』や『定額データ通信』という状況にある中で何故『SMS（ショートメッセージサービス）』の仕様を拡張するのか？

１．スマートフォンアプリの認証に広く普及してしまっている

２．フィーチャーフォン（ガラケー）であっても簡単に使える

３．携帯キャリアの貴重な収入源になっている

といったことがあるかと思います。

しかし、１に関しては過去に『インターセプト』された事件があり、NIST（National Institute of Standards and Technology / アメリカ国立標準技術研究所）が3年程前に『SMS認証を推奨しない』と発表しています。

２に関しては、2020年後半から2021年あたりにかけて『3G』が終了していくため、純粋なフィーチャーフォン（ガラケー）というものがなくなり、俗に言う『ガラホ（見た目はガラケー、中身はスマホ）』に切り替えていくことになるため、『LINE』などのアプリも使えるようにもなり、料金的にも『定額プラン』を選択することになるでしょう。

そして、３に関しては言うまでもないでしょうが『SMS（ショートメッセージサービス）』は携帯キャリアにとって貴重な収入源になっているはずです。

昨年始まった『＋メッセージ』もあまり普及はしておらず、『打倒LINE』というのは遠い話しの状況で、受信者が『＋メッセージ』のアプリを使っていなければ送信した側は通常の『SMS（ショートメッセージサービス）』扱いとなるため料金が発生します。

結果的にはどの部分をとっても中途半端な状態なわけです。

これは利用者側にも問題があるでしょう。

ちょっとしたメッセージであればあっさり『SMS（ショートメッセージサービス）』を使ってしまう。

相手と『LINE』で繋がっていなかったり『携帯メール』を知らなかったりすると、結果的には電話番号だけで簡単に送れてしまうことからある意味便利なのでしょう。

では、iPhone同士の場合はどうでしょうか？

『iMessage』という仕組みができ上っています。

つまり、携帯キャリア次第で何とでもなる話しだということです。

これを改善していくとすれば、各アプリケーションでの『SMS認証』を廃止してしまうことでしょう。

そうすれば『SMS（ショートメッセージサービス）』の利用率は今よりも格段に減る可能性があります。

そして、利用者が減少すれば携帯キャリアも違うことを考えるに違いありません。

しかし、これに対して『パスワードの定期的な変更は不要』という考え方に変化してきています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

総務省の『国民のための情報セキュリティサイト』にある、『IDとパスワード　設定と管理の在り方』を紹介するページでは、『パスワードを複数のサービスで使い回さない（定期的な変更は不要）』という文言が出てきます。

これは以前の考え方から変化していますが、何故そのように変化したのでしょうか？

パスワードの定期的な変更は不要

一部のインターネット記事を見ると、これはNISC（内閣サイバーセキュリティセンター）の見解を受けて変更されたようです。

しかし、NISCも他での見解を受けて方針を変更したのではないでしょうか？

約1年程前、米政府機関である『NIST（National Institute of Standards and Technology/アメリカ国立標準技術研究所』が発行する『電子認証に関するガイドライン』の新版からルールを変更するとされていました。

（参考：電子的認証に関するガイドライン by NIST）

これは、ユーザーに新しいパスワードへの変更を求めてもいい加減に作る傾向にあり、特別な理由がない限りはパスワード変更を求めるべきではないという考え方が専門家の間でも増えてきたこともあります。

また、NISTでは定期的なパスワード変更を止める代わりとして、最低64文字でスペースも入れられる『パスフレーズ』を推奨するとしています。

では、パスワード設定はどのように行うか？

パスワード生成を自動で行ってくれるツールを使うと良いです。

このようなものを使えば、個人に関連する情報が一切含まれず、英字の大文字・小文字、数字、記号、文字数、強度などを選択しながらパスワード生成を行うことができますので、非常に解読されにくいものであると言えます。

（参考：パスワードジェネレータ/Norton by Symantec）

そして、これを適切に管理さえしていれば、推測されやすいパスワードの定期的な変更よりも適切なものであると言えるでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、皆さんはGoogleのサービスにログインする際、どのような方法でログインしていますか？

おそらく、2段階認証を使っている人の中でも多くはSMSを使った2段階認証でGoogleのサービスにログインしているかと思いますが、実はこの方法は推奨されていません。

SMSによる2段階認証が非推奨な理由

米国立標準技術研究所（NIST）は、SMSによる2段階認証を以下の理由から安全ではないとし、非推奨としています。

１．攻撃者が携帯電話事業者をだましてSMSのメッセージを自分の携帯電話にリダイレクトさせられる

２．SMS経由で銀行からユーザーに送信されたコードを読み取る悪質なAndroidアプリが数多く存在する

では、どのような方法であれば安全なのでしょうか？

Google Promptを使った2段階認証

Googleは昨年、Google Prompt（プロンプト）という新たなオプションを導入し、提供しはじめました。

これは暗号化された接続を介して認証プロセスが実行されることから、SMSを使った方式よりも安全であり、推奨されています。

認証方法は非常にシンプルです。

１．Googleアカウントにログインすると、スマートフォンを確認するよう促すリマインダーが表示される

２．スマートフォンに送信された『ログインしようとしていますか？』というプロンプトで『はい』をタップする

これだけです。

ただし、Googleアカウントにて予めスマートフォンを追加しておく必要があることと、スマートフォンにはGoogleアプリを入れておく必要があります。

ちなみに、私の場合は『Google2段階認証とスマホ認証』の記事でご紹介したスマートフォン認証を使っていますが、プロンプト方式の2段階認証よりプロセスが増えますので、それでも良い場合はこちらがお勧めです。