「銀行はパスワードの文字数制限を撤廃すべき」という主張を専門家はどう見ているのか?
by typographyimages
銀行口座などのネットアカウントを作った際、「パスワードは6文字以内」などの制限が課せられており、「こんな少ない文字数でセキュリティは大丈夫なのか?」と不安になったことがある人もいるはず。メールアドレスやパスワードの流出を調べられるサービス「Have I been pwned?」を開発したセキュリティ専門家のトロイ・ハント氏が、銀行のパスワード文字数制限についての考えを述べています。
Troy Hunt: Banks, Arbitrary Password Restrictions and Why They Don't Matter
https://www.troyhunt.com/banks-arbitrary-password-restrictions-and-why-they-dont-matter/
パスワードの文字数制限は銀行によって違いがあり、5文字が上限というところもあれば、16文字までOKというところもあります。多くの人々は短すぎるパスワードに不安を感じており、できるだけ長いパスワードを設定できた方がいいと考える人も多く存在します。しかしハント氏は、銀行のパスワード文字数制限について「それほど悪いことではありません」と述べています。
顧客の資産を扱う銀行のような金融機関は、ハッキングなどによってアカウントを乗っ取るメリットが大きいため、悪意のある人物が総当たり攻撃を仕掛けてくる可能性が高いです。そのため銀行は、何者かによってパスワードの総当たり攻撃が行われている疑いのあるアカウントについて、早急にロックするという対策をとっています。
多くの金融機関は、3回ほどパスワードの入力に失敗するとアカウントをロックし、その後は厳重な本人確認を行ってからでないとアカウントを開くことができないという施策を取っています。つまり、たとえパスワードの上限が数字のみの5文字であるとしても、組みあわせは「00000」~「99999」まで全部で10万通りも存在し、そのうち失敗は2回しか許されないというわけ。もともとパスワードを知らない攻撃者が偶然正しいパスワードを入力する可能性は、非常に低いとハント氏は指摘。
by Soumil Kumar
また、もう一つの問題としてハント氏が挙げているのが、「銀行は通常、ユーザーの名前やメールアドレスをそのままユーザーIDとして使用していない」という点。一般的には顧客登録番号などがユーザー名として用いられるため、攻撃者はこの番号も入手しなくてはなりません。もちろん、誰かがその気になれば番号を入手できないわけではありませんが、特定のユーザーの顧客登録番号を盗みだし、パスワードも入手することは非常に困難です。
さらにハント氏は、「銀行が使用する認証プロセスやセキュリティ対策は、アカウント名とパスワードの入力だけではない」という点も指摘。正規のユーザーは、単にユーザー名とパスワードを入力するだけで自分の口座にアクセスできるように感じているかもしれませんが、ハント氏が銀行のセキュリティ関係者とも話したところ、実際には見かけよりも非常に洗練された方法を使い、銀行はユーザーの金融資産を守っているとのこと。
ユーザーがアカウントにアクセスする際の環境や行動パターン、異変を発見するさまざまなパターンなどが銀行によって用いられており、単なる文字列照合による資格確認を超えたシステムが存在しているそうです。銀行が実際のセキュリティシステムを一般に開示することはありませんが、「隠されたセキュリティ機能」が銀行のセキュリティ体制に大きく貢献しているとハント氏は述べています。
Hi. I understand your concerns. Our Online Card Services login is our first line of security, but we do have many other hidden security features in place that help us to protect your account and details. ^LauraP
— MBNA (@mbna) 2018年7月9日
さらに、銀行などの金融機関ではお金の管理に関わる重要な手続きにおいて、追加の認証プロセスを導入する傾向が高まっています。ハント氏が利用している銀行も、新規の送金先を設定するたびにSMS認証を行っているとのこと。また、もしも顧客の金融資産に被害が及んだ場合、多くの銀行は不正な送金を取り消すなど、口座から失われた金額を補償してくれるそうです。以上のように、銀行の認証プロセスは単なる文字列認証によるログインとは大きく違い、一般的なウェブサービスなどと同様に語る必要はないとハント氏は述べています。
by JanBaby
セキュリティ的にはパスワードに文字数制限をかけても問題がないと認める一方で、ハント氏個人としては「銀行はパスワードの文字数制限を撤廃するべき」と考えています。セキュリティに詳しい人であればパスワードそのものが重要ではないとわかるものの、一般の人々はパスワードの文字数が少ないと不安に感じてしまうとのことで、端的に言って「見栄えがよくない」とハント氏は指摘しました。
また、一部のパスワードマネージャーでは、ウェブサービスが文字数制限をかけているために認証に失敗してしまうケースもあるそうで、文字数制限は機能的な問題を引き起こす可能性があるとのこと。結局のところハント氏は、銀行はパスワードの文字数制限は撤廃するべきだと指摘した一方で、たとえパスワードの文字列上限が少なく設定されていても、それだけで銀行の使用をやめる必要はないと述べました。
by stevepb
・関連記事
ランダムな文字列っぽい「ji32k7au4a83」というパスワードが大量のユーザーに使われていた理由とは? - GIGAZINE
セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか? - GIGAZINE
Microsoftが「パスワードの定期変更は不要」と宣言、パスワードに有効期限を定める方針は廃止へ - GIGAZINE
ハッキング被害に遭った2300万人以上が使っていた最も危険なパスワードは「123456」 - GIGAZINE
流出したアカウント情報を使って自動で不正アクセスする「Credential Stuffing攻撃」とは? - GIGAZINE
無料で自分のメールアドレスが流出しているかどうかを教えてくれる「Have I been pwned?」が買い手を募集中 - GIGAZINE
無料で自分のパスワードが過去の漏洩データに載った危険なものかどうかをチェックできるサービス「Pwned Passwords」 - GIGAZINE
パスワード認証に取って代わる2段階認証とその未来とは? - GIGAZINE
・関連コンテンツ
