英GCHQ、複雑すぎるパスワードの使用中止を推奨

複雑なパスワードはユーザーの負担になるだけでセキュリティー向上にはつながらないとして、パスワードポリシーの緩和とシステム側での対応強化を推奨するガイダンスを英政府通信本部(GCHQ)が発表している。ガイダンスはGCHQの電子通信安全局(CESG)が国家インフラストラクチャー防護センター(CPNI)とともに作成したもの(Password guidance: simplifying your approach、CESGのブログ記事、The Independentの記事、BetaNewsの記事)。

ユーザーの負担を軽減するための措置としては、保護の必要な場面でのみパスワードを使用すること、安全なパスワード管理手段の提供、パスワード変更を強制するのは不正ログインが疑われる場合などに限ること、ユーザー間でのパスワード共有を禁じ、ハードウェアトークンなどによるアクセスコントロール手段の導入を検討することなどが挙げられている。パスワード管理ソフトウェアを使用する場合は攻撃者のターゲットになりやすい点にも注意すべきとしている。

ユーザーにパスワードを作成させる場合、推測しにくいパスワードを選択するための指導を行い、よく使われるパスワードはブラックリストにより禁止することを推奨。一方、機械的にパスワードを生成する場合はランダムな4つの単語の組み合わせや、子音-母音-子音を繰り返した構造を持つパスワードを推奨し、複数の候補を提示してユーザーが覚えやすいものを選択できるようにすべきとのこと。ユーザー生成・機械生成いずれの場合も、パスワードを職場と自宅で共有しないことが重要だとしている。

このほか、出荷時にデフォルトパスワードが設定されている場合はデプロイ前に変更すること、管理者やリモートユーザーにはより高度なセキュリティ対策を行うこと、怪しいログイン試行を監視してロックアウトなどの措置を行うこと、パスワードを平文で保存しないことなどが推奨されている。　スラドのコメントを読む | セキュリティセクション | 英国 | セキュリティ | 教育 | 政府

　関連ストーリー：
不倫サイトから流出したパスワードの解析が進む、罪悪感や言い訳のようなフレーズも多数 2015年09月18日
30桁の複雑なパスワードで暗号化されたTrueCryptの隠しボリューム、FBIが復号に成功？ 2015年08月08日
通信傍受システム「エシュロン」の存在、スノーデン文書が裏付ける 2015年08月07日
英米の諜報機関、セキュリティソフトメーカーを狙っていた？ 2015年06月26日
統計によるパスワードクラック 2015年04月18日
「パスワードの強度を判定」するツールにご注意を 2015年04月14日
NSAでも破れないが、覚えやすいパスフレーズ 2015年03月29日
多くの人が「パスワードの管理疲れ」を体験している 2015年02月10日
英GCHQの元長官曰く、解読不能な暗号化を許せば諜報機関の倫理が悪化する 2015年01月28日
2014年最も人気のあったパスワード、相変わらず「123456」や「password」がトップに 2015年01月22日
暗号化は政府による検閲や傍受に対して無力か 2014年12月11日
パスワードを管理する新しい手法「PolyPassHash」が提案される 2014年04月08日
英大手ECサイトの66%が単純なパスワードの使用を許可している 2014年03月15日
「覚えられないのでパスワードは数字4桁で」と言われたらどうする？ 2013年10月10日
US-CERT、デフォルトパスワードをそのまま利用することについて警告 2013年06月26日
オランダの ISP、デフォルトのパスワードから変更していない法人顧客が 7 割近くいることに気付く 2012年07月09日