冨山陽平のブログ “思いきり やりぬく”

ITの適正活用,セキュリティ,中小企業,ITの適正活用、組織風土改革、従業員満足度調査、これあらた、久留真家、冨山陽平

冨山陽平のブログ 思いきりやりぬく

企業のセキュリティ担当者が社員に意識させるべきパスワードの桁数

2013/06/04 (火)

 最近、不正アクセスによる情報漏れが頻繁にニュースで報じられています。企業のセキュリティ担当者にとっても悩ましい問題だと思います。昨年度の不正アクセスの被害状況をまとめた、情報処理推進機構のサイトによると、以下のように、「不明」が大半を占めております。しかしながら、パスワード管理の不備も十分な比率になっており、こちらの対処も重要だと考えられます。

引用:http://www.ipa.go.jp/security/txt/2013/2012outline.html

そこで、今回取り上げたいのは、

パスワードの設定基準

です。パスワードといっても、いろいろな視点がありますからとても一枚の記事では書ききれませんが、今回はとくにそもそも何桁以上あれば安心なのでしょうか?少し古い情報を元にすると、8桁以上の英数字といわれています。

http://www.ipa.go.jp/security/txt/2008/10outline.html

何かのサイトに登録する際にもパスワードは8桁以上でというふうに書かれている場合も多いかと思います。しかし、解析する側の処理能力も進化しているわけで、2013年時点では、12桁以上の英数字がベストではないかと考えています。以下のサイトはパスワードの解読までにかかる時間を調べられるサイトなのですが、

How Secure is my password? ←実際にあなたが使用しているパスワードを入れるのは危険ですからやめてください。

たとえば8桁英数字であれば15時間ですが9桁英数字にするだけで約1ヶ月になります。これを12桁英数字にすると25000年になります。さすがに現段階でこれだけ解析に時間がかかるようであれば、問題ないでしょう。量子コンピュータなど次世代コンピュータが開発されない限り。

 もちろん、パスワードは

  • 複数のサイトで同一のものを利用してはいけない
  • 辞書語(辞書に載っている単語)を含めない

という重要なポイントもありますが、このあたりまで含めると1つ覚えるのが精一杯だと思います。

 すると、パスワード管理ツールというものはどうしても避けられなくなります。次回はパスワード管理ツールについてご紹介したいと思います。

カテゴリー: ITの適正活用

キーワード: ,

コメントとトラックバック: なし

トラックバック先:

コメントを残す