もっと身近にセキュリティ

パスワードを使い回さない

前月のSECURITY REPORTでは、パスワードを複雑化する方法について、一例を紹介しました。
ところで、パスワードクラック手法には、次の3種類があると紹介しました。

(1)総当たり攻撃[ブルートフォース攻撃]
(2)辞書攻撃[ディクショナリー攻撃]
(3)パスワードリスト攻撃[リスト型攻撃]

前回紹介した「パスワードの複雑化」は、上記(1)(2)の対策としては有効ですが、実は(3)「パスワードリスト攻撃」の対策にはなっておらず、別の観点での対策を行う必要があります。

 

○パスワードリスト攻撃とは
改めて、パスワードリスト攻撃の特徴について考えてみましょう。

パスワードリスト型攻撃とは、別のサービスやシステムから流出したアカウント情報のリストを用いてログインできないかを試みる攻撃です。つまり、流出元と同じアカウント情報(ID/パスワード)を使い回していると、いくら複雑なパスワードを使っていたとしても何の対策にもならず、次々に不正ログインが成功してアカウントが乗っ取られてしまうことになります。

そのため、パスワードリスト型攻撃対策の基本は、「同じパスワードを使い回さないこと」とされています。

 

○パスワードリスト型攻撃対策(1) 「識別子+コアパスワード」
ここで、IPA(情報処理推進機構)が提唱している、「同じパスワードを使い回さない」手法について紹介します。

[出典] IPA安心相談窓口だより
https://www.ipa.go.jp/security/anshin/mgdayori20160803.html

特定の文字列(コアパスワード)を作成し、その前または後に、サービスの略称や頭文字、URLの一部などを参考に作成した「識別子」を作成するというものです。

具体的に、コアパスワードを「password」として、先頭に各サービスごとの識別子を追加する場合は、以下のようなイメージです。

・サービス「abcクラウド」の場合:abcpassword
・サービス「いろは銀行」の場合:irhpassword
・サービス「IPAメール」の場合:IPApassword

この手法を使えば確かにパスワードを使い回すことがなくなりますが、脆弱になりがちとなる懸念があります。例えば、「Twitterなら”tw”、Facebookなら”fb”を付ければログオンが成功するのでは?」と容易に類推できてしまいます。

 

○パスワードリスト型攻撃対策(2) 「リスクに応じたパスワード設定」
次にパスワードリスト型攻撃対策として、「リスクに応じたパスワード運用」を紹介したいと思います。

「対象サービスのパスワードが漏えいしてしまった場合、どういった被害が想定されるか?」を考慮し、その影響度ごとにランク付けをして、パスワード運用を行う考え方です。以下に、例を記載します。

ランク サービスの例 リスク内容 パスワード運用
A メール ・メール内容の漏えい
・パスワードリセット操作により、アカウントが乗っ取られる
・サービスごとに異なるパスワードを設定する
・2要素認証を設定する
ネット銀行
通販サイト
・金銭被害
B SNS ・信用失墜(なりすましによる情報発信) ・サービスごとに異なるパスワードを設定する
C 上記以外のサービス ・アカウント登録情報の漏えい(金銭被害の可能性は少ない) ・同じパスワードを設定する

当然、あらゆるサービスに対して異なるパスワードを設定することが望ましいですが、多くのサービスを利用している場合には利便性を欠いてしまいます。そこで前ページの例では、ランクC(被害の影響度が小さいもの)は、ある程度リスクを許容して同じパスワードを設定することで、利便性を高めることを狙いとしています。

 

いかがでしたでしょうか?リスクの捉え方は人によって異なるかと思いますので、皆さんでアレンジしてみてください。