Scribble at 2022-12-23 10:20:30 Last modified: unmodified

添付画像

Password requirements: myths and madness

当サイトでもパスワードの運用について幾つか記事をご紹介している。もちろん、情報セキュリティの技術や方針あるいは規範についても、常に向上させたり改善していく余地があるのだから、同じ方針をいつまでも堅持している強い理由がない限り、それらも吟味して変更したり改めなくてはならない。パスワードについての管理方針も同じである。

XKCD の漫画は業界ではそれなりに知られていて、僕も新入社員の研修でパスワードを作るのにデタラメな文字列を使う必要はなく、自宅の窓から見える(そして自分の部屋からしか見えない)色々な会社の電話番号とか広告のメッセージとか社名とか建物の名前とかを三つか四つほど組み合わせたらいいと教えている。でも、それはどこまで有効なのか。

これは僕が以前からずっと言ってることなのだが、いまや UTF-8 で HTML やプログラムをコーディングすることが当たり前になってきている昨今、ユニコード文字列を正しく処理できない処理系なんて論外だろう。であれば(と10年前から言ってるわけだが)、パスワードに日本語を使って何がいけないのか。ユニコード文字列を許容するだけでも、短い桁数で相当に解析が難しいパスワードを運用できる。実質的に文字種を何倍にも増やしたのと同じだからだ。そして、こういうアプローチは既に多くの場面で導入されているのである。それが、例の「秘密の質問」である。あれは、Windows のログイン・パスワードだろうとオンライン・サービスのパスワードだろうと、日本語を使って設定できる。あれは実質的にパスワードと同じ機密性を持つ情報なのだから(よって、秘密の質問に単純な答えを設定してはいけない)、同じことを通常のパスワードを処理するルーチンにフィードバックして実装して何がいけないのだろう。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る

※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook