そのパスワードポリシーでユーザーを守れるのか?

インターネットでサービスを提供する事業者は「強いパスワード」をユーザーに入力するようにルール(パスワードポリシー)を設定して促します。しかし、ユーザーは果たして事業者が望むように対応してくれるのでしょうか?データサインの坂本が解説します
※この記事は読者によって投稿されたユーザー投稿です:
  • 編集部の見解や意向と異なる内容の場合があります
  • 編集部は内容について正確性を保証できません
  • 画像が表示されない場合、編集部では対応できません
  • 内容の追加・修正も編集部では対応できません

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

  • 配信日:2021年2月18日 
  • タイトル: そのパスワードポリシーでユーザーを守れるのか?
  • 発表者:データサイン プロダクトマネージャー 坂本一仁

そもそも「強いパスワード」って何?

インターネットでは、ユーザーを一意に識別する情報(ID)と、アクセスしてきた人がユーザー本人であることを確認する情報を組み合わせて、通信相手がユーザーその人かどうかを認証しています。ここでIDと組み合わせて本人を確認するための情報として一般的に用いられるのがパスワードです。パスワードはIDを付与されたユーザー本人だけが知る情報なので、パスワードを入力することでIDを持つ本人であることを証明する仕組みです。しかし、パスワードが単純なものであれば、IDを知る第三者によって推測され、あたかもユーザー本人になりすまして認証される危険性があります。なりすましを防ぐために、インターネットでサービスを提供する事業者は「強いパスワード」をユーザーに入力するようにルール(パスワードポリシー)を設定して促しますが、ユーザーは果たして事業者が望むように対応してくれるのでしょうか。データサイン プロダクトマネージャー 坂本一仁は、そうではないと指摘します。

そもそも「強いパスワード」というのは、どういうものでしょう?

「強いパスワードとは、パターン数が多く、かつ他と同じパスワードではないパスワードです。パターン数が多いことにより、第三者がパスワードをしらみつぶしに入力する総当たり攻撃への耐性が高まります。また、他と同じパスワードではないことで、『既知のパスワードと同じ、または似たパスワードを機械学習で当てる』という推測攻撃への耐性が増します。2つの条件はどちらか一方ではなく、両方が満たされることでパスワードの安全性の強化につながります」(坂本)

続きは、DataSignブログで

この記事が役に立ったらシェア!
メルマガの登録はこちら Web担当者に役立つ情報をサクッとゲット!

人気記事トップ10(過去7日間)

今日の用語

重複コンテンツ
同じドメイン名内、または他のドメイン名にわたって存在する、「内容は同じだがURL ...→用語集へ

インフォメーション

RSSフィード


Web担を応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]