「限界に達した、今ある認証 知らぬ間に直面している「危機と限界」を検証する」と題された「ZDNet Japan 認証セキュリティセミナー」が9月16日に開催された。セミナーでは、長く主流であり続けたユーザーID＋パスワードという認証方式では十分なセキュリティが担保できなくなっている状況を再確認。今後採用すべき新たな認証方式や現場で気づかうべきことについて多くの情報が提供された。

なぜパスワードが利用され続けてきたか

基調講演に登壇したのは、HASHコンサルティングの代表取締役社長である徳丸浩氏だ。講演タイトルは「パスワード認証をとりまく現状と今後の対応について」。この講演では、セミナーの根幹である「パスワード認証は限界にきている」という実情が解説された。



HASHコンサルティング

代表取締役社長 徳丸浩氏 HASHコンサルティング代表取締役社長 徳丸浩氏

「パスワード認証がなぜ使い続けられているかといえば、優れているから」と徳丸氏は言い切る。長く使われてきている分だけ多くの人がすでに使い方を知っていて、教育コストはきわめて低い。また特別なハードウェアを必要としないため実装コストも低く、展開も容易だ。

そして、限界に来ていると言われてはいても、パスワードの桁数を増やすだけで強度が向上させられる簡便さもポイントとなる。徳丸氏はポストパスワード認証と呼ばれるものを並べて、パスワード認証よりも良い部分と悪い部分とを比較。多くの認証方式がユーザビリティと展開性においてパスワード認証に劣っていることを解説した。

攻撃手法とパスワードに関する多くの誤解

しかし、実際にパスワード認証が破られる被害は多くある。徳丸氏はどういう形でパスワード認証が破られるのか、漏洩のパターンや攻撃者の行動を解説した。

解説されたのは、辞書攻撃、パスワードリスト攻撃、ジョーアカウント探索や逆総当たり攻撃といったパスワード試行のバリエーション、フィッシング攻撃、ウイルスによるパスワード漏洩、退職者など過去の管理者からの攻撃など、メジャーなものからあまり知られていないものまでを丁寧に解説。それぞれについてシステム運営者側ができる対策についても触れた。

さらに「パスワードは大変身近なものだけに誤解も多い。誤解を解いておかないと正しい対策ができない」として、パスワード認証に対する誤解についても解説された。特に大きな誤解として指摘されたのは、オンラインクラックとオフラインクラックの混同だ。

オンラインでさまざまな試行をするオンラインクラックと、パスワード情報を盗んでから攻撃者が手元で作業するオフラインクラックでは考え方が全く変わってくる。

特に大きな誤解となっているのは、コンピュータの性能が向上したことでパスワードは簡単に破られるようになったという認識だ。徳丸氏は引用されることの多いIPAの資料から「英字＋数字＋記号で作った6桁のパスワードが約54日で解読される」というものを抜き出して解説。「54日で総当たりするためには1秒あたり約14万回の試行が必要だが、ウェブサイトで1秒間に14万回のパスワードトライができるかというと、そういうサイトはめったにない。前提がおかしい」と指摘した。