質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.49%

  • セキュリティー

    464questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

パスワード 文字種制限や、期間ごとの変更の意味

解決済

回答 4

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 1,419

King_of_Flies

score 297

お疲れ様です。
Takkoです。

①文字種制限
よくあるパスワードの文字種制限について質問なのですが、
実際いろいろなサイトで、半角数字、大文字、小文字、記号のいずれかを3つ以上含む8ケタ以上のパスワード
なんていうパスワード設定条件があったりしますが、

これはセキュリティー上、効力を発揮するのでしょうか。
文字数の制限は含めてもいいにしても、
暗号化するなら文字種が1種だろうが、2種だろうが、関係ないように思います。

そもそもそのような制限のせいで、ユーザがパスワードを忘れてしまわないよう、
デスクトップにメモ帳などでパスワードを記述している例もなくはないと思います。

確かに1111111111のような単純すぎるパスワードの抑止にはなるのかも知れませんが、
同じ文字の羅列を禁止する程度でもよかったのではと思います。

②期間ごとの変更の意味
これもまたユーザがパスワードを忘れる要因の一つではないでしょうか。
それにDBからの情報流出や、パスワード入力画面を見られた時の場合のパスワードって、
新しくしてようが、古いままであろうが、その瞬間のパスワードを見られたら変更した意味が関係ありませんよね。

メリットよりデメリットが多い気がしなくもないのですが、
これはなぜ一般的にこいうルールになっているのでしょうか。

現にキャッシュカードの引き出し用パスワードなんかは、数字4ケタでパスワード変更の強制はありませんし、
不思議でたまらないです。

ワンタイムパスワードはいいと思います。

以下自分なりに調べてみてこのサイとにたどり着きました。

https://qa.atmarkit.co.jp/q/2024

結局、最近のUNIX系OSでは、シャドウファイルというファイル(一般ユーザには見えない)にパスワードが格納されており、パスワードを定期的に変更する必要はなくなりました。とありますから、1はもういいのですか?

長期的に悪用される場合とは?気づいた時点での変更と、定期的に変更で違いがあるのですか?

期間が設定されているがゆえに、次のパスワード変更まで安心だという慢心が生まれそうですが。

なぜでしょう。。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

+4

①の文字種制限は、総当たり式のコストをあげるため。と思いましたが間違いで、辞書攻撃への抵抗でしょうか。実際は、よく知らない人が雰囲気でそうゆう仕様にしただけで意味は無い。だと思います。

僕もtakkoさんの主張と同じで、パスワード文字列の制限や定期的な変更の要求、さらにそのとき過去と違うパスワードでなければとか、勝手なお節介で、こちらのパスワード運用ポリシーを乱さないで欲しい。それらは総当たり式攻撃への耐性で、入力するキーボードの指の動きからパスワードを盗まれるソーシャルクラックには意味がない。そんなことより、ログイン履歴の表示やアラートの送信、2段階認証の実装の方がよっぽどセキュアだと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

checkベストアンサー

+1

力不足で下記質問の解答より優れたものをご提供できないように思いましたので、紹介させて頂きます。

セキュリティー - なぜ、定期的に認証番号を変更するのか(93989)|teratail
https://teratail.com/questions/93989

セキュリティー - 語句のほうが良い理由(93990)|teratail
https://teratail.com/questions/93990

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/10/05 16:10

    参考記事、ありがとうございます。
    皆さんが思っていることだったのですね。

    キャンセル

+1

キャッシュカードの引き出し用パスワードなんかは、数字4ケタでパスワード変更の強制はありませんし

これに関しては、何回か失敗したらATMでカードを回収してしまうので、総当たり攻撃がシステム上で通用しないという事情があります。

ユーザーパスワードなどでハッシュ値が漏洩したとしたら、「数字4桁」では1万通りしかないので、簡単に破られてしまいます。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/10/05 16:15

    キャッシュカードのパスワードを複数回失敗したらカードが回収されてしまうのは初耳でした。
    それなら総当たりが抑止できて良いですね。

    ならば、っていう話ですが、一般的なサイトも総当たりができないような設定を組み込むべきなんですかね。

    実際、ロボット認証とか、数回パスワードを謝ったらアカウントロックされるところもなくはないですし。

    キャンセル

  • 2017/10/05 16:17

    もちろんサイトレベルでしたらそういうこともできますが、上で書いたような「ハッシュ値が漏洩した場合」や、あるいは「暗号化したファイルが入手できたけど鍵だけわからない場合」には防御不可能です。

    キャンセル

  • 2017/10/05 16:20

    一般ユーザのパスワードではなく、ハッシュ値のほうを定期的に変更するのはだめなのでしょうか?

    キャンセル

  • 2017/10/05 16:23

    期間が過ぎてからの旧ハッシュ値でログインしたユーザをバックで別のハッシュ値を使用し登録しなおして、次回以降のハッシュ値を新ハッシュ値にするなど。

    キャンセル

  • 2017/10/05 16:24

    ハッシュ値が漏洩した時点で、あとはそれをローカルにとってきてえんえん計算すれば(これがパスワードの長さや強度に依存するけれど)、サーバの状況に関係なく「元のパスワード」も割り出せますので、ハッシュ値だけ入れ替えても無意味です。

    キャンセル

  • 2017/10/05 16:28

    ユーザが登録したパスワードに暗号化を二十で施す場合ならば、”(これがパスワードの長さや強度に依存するけれど)”は満たせますか?

    キャンセル

  • 2017/10/05 16:37

    演算負荷を増す「ストレッチング」という手法も実際に存在はしますが、ユーザーのログインごとに暗号化などのパスワード検証が必要となる以上、1回あたりにかけられる負荷も自ずと限界があります(パスワードを打ち込んでログインまでに10秒待たされるサイトの作りにしたとしたら、特殊な状況でなければユーザーが離れていくと思います)。

    キャンセル

  • 2017/10/05 16:41

    なるほど、処理速度の面ですね。
    確かに考慮すべき点だとは思います。

    maisumaさんは、パスワードのルールについてベストだと思う策を何か持っていたりしますか?

    私は普段のパスワードの指定は、個人の自由(1111などの単純パスワードは弾く)として、
    ワンタイムパスワードを付与するのがベストかなとは思うのですが。

    キャンセル

  • 2017/10/05 16:44

    端的に言えば、「できればパスワードで/パスワードだけで認証したくない」というのが本音です。

    二段階認証やソーシャルログインなどで、パスワードだけに依存しない体系としていくのが適当ではないかと考えています(パスワードログイン不可なシステムも作っていたりします)。

    キャンセル

  • 2017/10/05 16:49

    パスワードを二つ用意する的な考えですか?

    ログインID、パスワード、+アルファ
    という作りですか?

    キャンセル

  • 2017/10/05 16:58

    ソルト要件というのがあるみたいですね。

    キャンセル

  • 2017/10/10 14:25

    SMS・アプリ等を使った複数段認証はユーザビリティ低下を招くので難しいですよね。
    ソーシャルログインはユーザビリティ的にも良いのかなぁっとは思いますが。

    現状作ったとあるサイトでは5回間違えると24時間アカウントロックするという対処法で
    総当りを防止していますね。

    それでもやはり、総当りしてくるクラッカーは存在しています。

    キャンセル

+1

ことWebサイトに関して言えば、やや事情が変わってきているのではないでしょうか。

  1. 昔よりもパスワードログインを行うサイトの数が飛躍的に増えて覚え切れない
  2. 最近のブラウザはパスワードを自動生成する機能がついたものがある
  3. PCやスマホの普及により、複数人で同一デバイスを使い回すことが減ってきている

記号や数字などを強制しても、それが他のシステムと似たようなルールなら、
他サイトとのパスワードを使い回しを回避できません。
使い回されたパスワードは、悪意のある別サイトの開発者などが
盗んで持ち出す恐れがあるため、定期的な変更を強制する理由になります。

自動生成は、人間が自分でパスワードを考えるよりも、はるかに強固で長いものが生成できるので、
半端なルールを設定するよりも強くなる可能性があります。

ブラウザの自動生成の利用を推奨すると、サイトのURLと紐づけられるので
パスワードが使い回されるリスクがなくなります。
使い回しの理由の一つは 1 の覚えきれないことも理由になりますが、自動なら関係ありません。

PCとスマホで同じブラウザを使用していればIDとパスワードが自動同期されたりもするので、
特に企業向けではなく個人向けサービスの場合は利便性も高くなります。
日本だとPCはWindows、携帯はiPhoneという組み合わせのユーザが多いので、
恩恵が得られるユーザが標準ではやや少ない傾向がありますが、、。

弱点があるとすると、URLのドメインが変わると分からなくことなどが挙げられますが、
大抵それはサービス終了を意味するので、ほぼ議論にはならないでしょう。
企業向けシステムの場合、担当者一人一人に別のIDを割り振るチーム機能をつければ
それぞれのPCに保存させることができますが、開発費用がなく、
社内全員で1IDを使いまわさせるならこの選択肢は使えません。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.49%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • セキュリティー

    464questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。