セキュリティコラム第1回:これからの認証強化のスタンダード「ワンタイムパスワード」

これからの認証強化のスタンダード「ワンタイムパスワード」の必要性について


一 般的に利用されているパスワードは4文字~6文字程度が多いのではないでしょうか?銀行のATMやクレジットカード、メールやインターネットショッピング など様々なところでパスワードは利用されています。その中で最近 パスワードの漏えいなどの事件を耳にすることが増えてきました。大手のオークションサイ トやゲームサイトなどで漏れたパスワードを流用され、金銭的な被害が出ている例も少なくはありません。しかし、そんなにパスワードって簡単に破られるもの なのでしょうか?

インターネットで使うパスワード、安易に決めていませんか? 実は、パスワードが英小文字の6桁以下だと1時間以内に見破られるそうです。最近は、インターネットの様々なサービスを使うことが多いと思いますが、覚えきれないと安易にパスワードを決めていると危険です。

少 し古いですが、2008年にIPA(独立行政法人情報処理推進機構)が公開しているデータでは、パスワード解析ツールを使用して、パスワード解読時間(見 破られる時間)を調べたところ、設定する事の多い英数字(大文字、小文字の区別無し)の場合、最も利用者の多かった4桁で約3秒、6桁で37分、8桁でも 約17日で解読出来てしまいます。

ソース:IPA-『使用できる文字数と入力桁数によるパスワードの最大解読時間』
http://www.ipa.go.jp/security/txt/2008/10outline.html

最近では解析するサーバやパソコンのスペックが高まっており、最適化された無償で利用可能なパスワードクラッキングソフトで、さまざまなパスワードアルゴリズムに対して総当たり攻撃(ブルートフォースアタック)や辞書攻撃を仕掛けることができます。

仮 想化技術も発達し、複数のGPUなどを用いて、あるシステムでは毎秒3500億通りもの異なるパスワードの入力(推測)を行うことができ、一般的な企業で 使用されているWindowsのパスワードをマイクロソフトがWindowsサーバ 2003から採用している大文字、小文字、数字、および記号を含むブルートフォースアタック(総当たり攻撃)をしかければ6時間で突破が可能とのこと。ま た、多くの企業が古いバージョンのWindowsのアルゴリズムは、わずか6分で突破してしまうそうです。

コンピュータの発展はパスワー ドクラッキングの速度を向上させてきましたが、単一コンピュータ上で使用できる性能に限界があった為、性能にも限りがありました。しかし、仮想化などの技 術を使うことで、無数のコンピュータを使用することが可能になったため、さらなるクラッキングの高速化に向けて突破口が開かれたというわけです。

そこで最近注目されているのがパスワードを強固にするソリューションになります。
生体認証やトークンなどもありますが、今回ご紹介したいのがワンタイムパスワードのソリューションになります。

ワンタイムパスワードとは、文字通り “一度だけ有効なパスワード” です。一回きりしか使えないため、使い捨てパスワードとも呼ばれています。何らかの形でパスワードが第三者に渡ってしまったとしても、そのパスワードでログインすることはできません。

弊社でご紹介するのはトークン不要の 「マトリックス型のPassLogic」です。
PassLogicはWebアプリケーション型のワンタイムパスワード製品になりまして、ログイン時に、画面上に提示される乱数表からユーザー自身がパスワードを生成するための仕組みを提供します。

securitycolumn0101

ログインのたびに画面に新しい乱数表が提示されます。設定したルールに従い数字を抜き出せば、パスワードも毎回新しいものに変わる仕組みです。

securitycolumn0102

マス目をクリックするのではなく、キーボードから数字を入力することでワンタイムのパスワードを実現します。このワンタイムパスワードを利用することで、社内に安全にアクセスすることも出来るようになります。

まとめ
リモートで社内にアクセスする際により安全にアクセスする方法についてご紹介いたしましたが、如何でしたでしょうか?
攻撃者側の環境が年々良くなり、パスワードを解析されてしまうリスクは非常に高くなっています。固定パスワードから更に強化したワンタイムパスワードを是非ご検討されては如何でしょうか?

次回予告
次回2回目は、最近多くの企業が考えている、持ち出しPCやスマートフォンのセキュリティ対策の課題についてご説明したいと思います。

Related post

更新情報

最新コラム

  1. 先日、MicrosoftウェビナーにてPowerAppsを使ったモバイルアプリケーションの作成方法に…
  2. はじめに 初夏の暑さを感じる季節になりました。早くも30℃超えを観測している所もありますね。そんな…
  3. みなさん、こんにちは! プライム・ストラテジーでコンサルタントをしております、穂苅 智哉 (ほ…

ログインステータス

You are not logged in.
Return Top