メモ

簡単なパスワードの再利用がセキュリティ管理上有効であることが数学的に判明

By alexljackson

危険なパスワードランキングで常にトップを争う「123456」を使うのはもっての他で、英語・数字に大文字・小文字まで混ぜた複雑なパスワードを作成し、かつ、複数のサイトで同じパスワードを使い回さないなど、パスワード管理はもはや無理ゲー状態ですが、Microsoft研究所から、「簡単なパスワードも使い古したパスワードもOK」という世間の常識に逆行するパスワード管理法に関する研究が発表されています。

(PDF)passwordPortfolios.pdf
http://research.microsoft.com/pubs/217510/passwordPortfolios.pdf

Mathematics makes strong case that “snoopy2” can be just fine as a password | Ars Technica
http://arstechnica.com/security/2014/07/mathematics-makes-strong-case-that-snoopy2-can-be-just-fine-as-a-password/

Microsoft tells internet users that they are 'better off' reusing old passwords than creating new ones - News - Gadgets and Tech - The Independent
http://www.independent.co.uk/life-style/gadgets-and-tech/news/microsoft-tells-internet-users-that-they-are-better-off-reusing-old-passwords-than-creating-new-ones-9610324.html

Microsoft研究所のディネイ・フォローレンシオ氏とコーマック・ハーリー氏ならびにカナダのカールトン大学のポール・オーショット氏は、発表した論文において、インターネットのサイトを利用する上で必要なパスワードの管理について通説では、「パスワードはランダムで複雑なものでないといけない(A1)」「パスワードは複数のサイトで使い回してはいけない(A2)」という2点が要求されているものの、これを実践することは現実的に不可能であるということを指摘しています。

また、パスワードを一元管理するソフトやサービスがあるものの、パスワード情報をインターネット上で有効に活用するためにクラウド上で管理する場合にはオンライン攻撃を受けるという危険があり、また、クラウドベースでない場合は端末ごとに設定する手間が生じるという欠点があり、やはり実践的でないとしています。

By CyberHades

これらの実践的でないパスワード管理を強いられる結果、多くのユーザーが採る戦略は、A1かA2の条件を緩めるというもの。つまり、A2を緩めて「複雑なパスワードを作るものの複数のサイトで使い回す」もしくは、A1を緩めて「簡単なパスワードではあるもののサイトごとに違うパスワードを用意する」というものですが、やはりこれではハッキング被害を受ける可能性とその場合の被害が大きいとのこと。

そこで、研究論文では、これらの「無理ゲー」を強いるのではなく、より実践的なパスワード管理方法として「簡単なパスワードの有効利用」という手法を提案しています。この手法では、まず最初に極めてセンシティブなサイトであるかどうかを選別して、センシティブだと判断された場合のみ従来のA1・A2を満たすパスワードを使います。しかし、それほどセンシティブではない場面では使い古された簡単なパスワードを使っても構わないとしています。

By Victor Bayon

例えばオンラインバンクの口座情報の管理画面で使うような、万一ハッキングされた場合の被害がとてつもなく大きいものについては、従来通り、複雑なパスワードをそのサイト固有で用いるべき。しかし、掲示板の書き込み用のパスワードなどハッキングされてもそれほど被害が大きくないものについては簡単なパスワードでよいということです。

この研究では、通説的なパスワード管理方法に従って努力すればパスワード管理に支障が出ることが多く、その場合の被害に遭う確率と被害の大きさは、「簡単なパスワードの使い回し」を認める新しい管理方法で生じる被害よりも大きいことが数学的に算出されたとしています。


つまり、パスワード管理における努力の傾け方にメリハリをつけることが大切であり、パスワード流出による被害が小さい多くの場合では簡単な使い古されたパスワードの利用を認める方が、より低リスクかつ容易な手法として実践的で有効なパスワード管理方法として受け入れられるというわけです。

従来は言語道断なものとして一蹴されてきた「簡単なパスワードの使い回し」が、重要な情報とそうでない情報を切り分けそれに応じた努力を傾ける配分のバランスをうまくとるための有効なツールになり得るという今回の研究は、なかなか示唆に富むものと言えそうです。

この記事のタイトルとURLをコピーする

・関連記事
「使ってはいけないパスワード」トップ50が公開、1位は「123456」で2位は「password」に - GIGAZINE

Adobeから流出したパスワードでよく使われていたものトップ100が公開される - GIGAZINE

よく使われるパスワードトップ10 - GIGAZINE

頭を悩ます面倒なIDとパスワードをまとめて簡単管理できるフリーソフト「ID Manager」 - GIGAZINE

簡単操作で条件にあったパスワードやパスフレーズを大量生成できるフリーソフト「PWGen」 - GIGAZINE

無料でWindowsのパスワードをリセットするUSBメモリを作る方法 - GIGAZINE

in メモ, Posted by darkhorse_log

You can read the machine translated English article here.