忍者ブログ

徽宗皇帝のブログ

徽宗皇帝のブログ

シジュフォスの神話は目の前にあり
「ウォールストリートジャーナル」から転載。
まあ、過去の自分の間違いを認めるだけでも凄いことだと思う。
しかし、このパスワード規則のために、世界が無駄にした時間と労力は実に莫大なものだったと思う。そういった無駄な作業というのは、このほかにもたくさんありながら、誰も文句を言わないために延々と続いているのではないか。学校とか会社とか官庁とか。



(以下引用)



あのパスワード規則、実は失敗作だった

数字・記号・大文字の組み合わせ、2003年に考案した人物が後悔

パスワード研究者らによると、単語を4つ並べたパスワードの方が、それより短い奇妙な文字の寄せ集めよりもハッカーには破りにくい
パスワード研究者らによると、単語を4つ並べたパスワードの方が、それより短い奇妙な文字の寄せ集めよりもハッカーには破りにくい Photo: Moment Editorial/Getty Images

 パスワード管理に関する有名な冊子の執筆者ビル・バー氏(72)は、あれは失敗作だったと告白している。


 2003年、米国の業界規格設定を手掛ける国立標準技術研究所(NIST)の中間管理職だったバー氏は「NISTスペシャルパブリケーション800-63 別表A」を作成した。8ページのこの文書は、インターネットで使うアカウントを守る方法として、パスワードに記号や大文字や数字を盛り込み、定期的に変更するよう勧めていた。


 連邦政府機関や大学や大手企業は、パスワード設定の規則を検討する際にこの文書を頼るようになった。

 だがバー氏は、アドバイスは結果的にほとんど間違っていたと話す。90日ごとにパスワードを変更するとなると、推測されやすい小幅な変更にとどめる人が大半だという。「Pa55word!1」を「Pa55word!2」に変えただけではハッカーを防げない。


 また、小文字や数字や大文字、感嘆符や疑問符などの特殊文字を組み合わせるという、指が絡まりそうなアドバイスも的外れだった。


 既に退職したバー氏は「今では自分がしたことの多くを悔やんでいる」と話す。


 「800-63」は今年6月に全面改定され、パスワードに関する指令の最悪の部分は捨て去られた。改定には2年かかった。作業を担当したNISTのポール・グラッシ氏によれば、改定は当初、簡単な編集で終わると考えられていた。


 いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない。これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」とグラッシ氏は述べている。


 今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ。

カーネギーメロン大学のロリー・フェイス・クレイナー教授は、使われやすいパスワード500種類を盛り込んだドレスを作った。これを着て2015年のサイバーセキュリティー会議に出席
カーネギーメロン大学のロリー・フェイス・クレイナー教授は、使われやすいパスワード500種類を盛り込んだドレスを作った。これを着て2015年のサイバーセキュリティー会議に出席 Photo: Lorrie Crano

 ミネアポリスの見本市ディスプレー会社で顧客リソースを担当するエイミー・ラメール氏は、仕事で数百件のパスワードの管理に1カ月当たり1時間を費やしていたが、これは無駄ではないかと長らく思っていた。「規則のせいでパスワードが覚えにくい」うえに、「リセットが必要になると、さらに時間がかかる」ためだ。


 パスワードに関するアドバイスが変わると聞いても怒りは覚えなかった。むしろうれしかったとラメール氏は話している。


 パスワード研究者らによると、単語を4つ並べたパスワードの方が、それより短い奇妙な文字の寄せ集めよりもハッカーには破りにくい。文字数が多い方が、それより少ない文字・記号・数字を並べたものより難しくなるためだ。

 漫画家のランドール・マンロー氏は、広く見られている作品の中で、「correct horse battery staple」を1つの単語に見立てたパスワードを破るのに550年かかると計算している。これに対し、バー氏の古い規則を使った典型的なパスワードの一例、「Tr0ub4dor&3」は3日で破られる可能性がある。マンロー氏の計算はコンピューターセキュリティー専門家の検証を受けている。


 NISTによる昔のアドバイスの影響は、連邦政府機関にとどまらず企業のネットワーク、ウェブサイト、モバイル機器など広範に及んでいる。


  マイクロソフト のコーマック・ハーリー主任研究員は、人類が1日にパスワード入力に費やす時間が計1300年相当を超えていると話す。同社はかつてバー氏のパスワード規則を採用していたが、現在は違う。


 バー氏は、自身のパスワード規則で「人々は怒り狂ったうえに、何をしても良いパスワードを得られなかった」と話している。


 過去10年にはハッキングが横行してきた。ハッカーは企業から数百万件のパスワードを盗み、ネットに掲載した。


 これにより、ハッカーに強いパスワードの研究に必要なデータが集まった。その結果、人は自分のパスワードを過信していることが分かった。私たちは同じ組み合わせに引き付けられる傾向があるのだ。だが03年には、バー氏がこの現象を理解できるだけのデータはなかった。


 ランダムなパスワードが作れると思われていたNISTの規則は「Pa$$w0rd」や「Monkey1!」といった、広く使われる不格好なパスワードを大量に生んだ。ハーリー氏は「自分以外に1万人の人が使っていたら、本当にランダムではない」と述べた。


 グラッシ氏は、03年のアドバイスについてバー氏が自分を少し責めすぎだと思っている。「彼のセキュリティー文書は10~15年もった。私は、自分が作成した文書がそれくらい長くもつことを願っている」と話した。


拍手

PR

コメント

コメントを書く