セキュリティを強化するための3つの重要なパスワードポリシー

多くの組織は、Microsoftのパスワードポリシーとそれが提供する機能に精通しています。 MicrosoftのActive Directoryドメインのパスワードポリシーは、17年以上も前から今も同じです。 いくつかの組織では多要素認証を実装する取り組みを行っていますが、これらのテクノロジーは高価だったり、複雑であったりするため、導入するにはエンドユーザーのトレーニングやサポートが必要になります。 多要素認証の導入が不可能な場合は、パスワードを保護するために、いくつかの制限を検討する必要がありますが、パスワードポリシーを定義するために3つの重要な点を解説します。

<1点目>
パスワードは15文字またはそれ以上にする必要があります。セキュリティのため、パスワードとして適切な最小文字数は何年にもわたって議論されてきました。適切な最小文字数はありませんが、考えておかなければいけない事項がいくつかあります。最小文字数が15文字の理由は、LAN Manager（LM）認証プロトコルが関係します。 LM（およびNTLM）のパスワードは最大14文字です。これは、Windows 3.11の時代にハードコードされた制限です。したがって、15文字のパスワードを設定すると、LMとNTLMを認証プロトコルとして使用することはできません。これは、LM / NTLMをサポートするパスワードが弱く、簡単に侵入される可能性があるためです。

<2点目>
パスワードには特殊文字を含める必要があります。攻撃者は、ユーザーがパスワードに特殊文字を含めないで設定することを知っています。そのため、攻撃者は強制的に特殊文字を使用したり、レインボーテーブル(※1)を使ってパスワードをハッキングしたりすることがあります。パスワードに特殊文字を含めることで、これらのパスワードクラッキング手法を無効化することが可能となります。
※1.レインボーテーブル：ハッシュ値と平文が1対1となった情報

<3点目>
ユーザーは、辞書にある単語をパスワードに含めるべきではありません。多くのパスワードクラッキングツールには、パスワードを解読するための 基礎情報として辞書（言語と攻撃パターン）をインポートする機能があります。パスワードを解読するための簡単な方法があれば、新しく設定したパスワードに、辞書に登録されている単語が含まれていないことを確認することが不可欠で、それにより簡単なセキュリティ対策を行なうことができます。簡単な方法ですが、辞書を使用したパスワード解読がもはや不可能となります。

パスワードに関して、全体的な構成を改善するためには、すべての追加の機能、技術、または概念が、設定したパスワードを保護するのに役立ちます。私たちは、攻撃者とパスワードクラッカーの先を行く必要があります。この3つのヒントにより、パスワードのセキュリティを高めることが可能となります。

※この記事は「ManageEngine Blog」に2016年12月29日に投稿された「Three neglected password policy tips that increase security」を翻訳・加筆したものです。

※本ページに掲載されている製品名、会社名などの固有名詞は各社の商標または登録商標です。®マーク、™マークは省略しています。

【翻訳・加筆】
ゾーホージャパン株式会社 宇都宮 隆