写真:スタンフォード大学のサイバーセキュリティサミットで、インターネットで最も人気のある500のパスワードを身に着けたカーネギー大学メロン教授のローリーフェイスクレイナー。 彼女は、ドレスを研究することで、周りの人が自分の弱いパスワードを変更する必要性に気付くのを助けることを望んでいます。
2003年、Bill Burrは米国国立標準技術研究所の中間レベルのマネージャーとして働いていました。 彼と彼の同僚は、退屈な指示-パスワードを選択および管理するための指示を含む文書を書くように指示されました。これは、米国政府機関の推奨事項になります。 従業員はタスクを完了し、この文書はNIST Special Publication 800-63Bとして知られるようになりました 。 Burr自身がこの標準の付録A(付録A)を作成しました。これは、パスワードの選択と管理に関する実用的なアドバイスを提供する8ページの例です。 Bill Burrは、数字、特殊文字、小文字と大文字を交互に使用し、パスワードを定期的に変更することを推奨しました。
長年にわたり、NISTの勧告は多くの州機関での実施に必須となる標準に変わりました。そして今、著者は間違いの規模を完全に認識し、その行為を非常に残念に思っています。
一度にパスワードを選択して管理するというばかげた勧告は、 有名なXKCD漫画の主題になりました。
National Institute of Standards and Technologyの管理者が、彼の推奨事項がこのような分布を受け取り、何百万人ものユーザーと膨大な数の企業、政府機関、教育機関などにとって議論の余地のない真実になると想像することはできません。 それらはすべて、NISTの推奨事項に従ってパスワードを選択および管理するためのルールを設定します。
しかし、時間が経つにつれて、1つの問題が現れました。 これらの推奨事項は誤りであり、コンピューターのセキュリティの向上には寄与しないことが判明しました。
まず、上記のように、長いパスフレーズよりもエントロピーが少なく、覚えるのがはるかに困難です。 数字が混在する大文字と小文字の乱れた文字セットを暗記してみてください。
次に、90日ごとにパスワードを変更するという推奨事項が特に間違っていることが判明しました。 ユーザーが数字と文字の複雑なパスワードを少なくとも1つ覚えている場合、90日後にそれを変更して新しいパスワードを覚えるにはどうすればよいでしょうか? 実践が示しているように、ほとんどの人はこの問題を最も論理的な方法で解決します。パスワードの変更は最小限です。 たとえば、Pa55word!1、Pa55word!2、Pa55word!3などのように、最後の桁を1つ追加するだけで変更します。 これは安全性に寄与しません。
バー氏は現在72歳で、引退しています。 The Wall Street Journalの解説で、彼はほとんどの行為を後悔していると述べた。 おそらく彼は自分自身にそれほど厳格である必要はありません。 NISTの勧告がこれほど広く分散し、システム管理者にとって「黄金律」になると誰が考えたでしょうか。 さらに、その時点ではパスワードセキュリティに関する十分な学術的研究がなく、本当に有能な勧告を書くことは困難でした。また、Burraは上司から作業を迅速に終了するように求められました。 ベトナム戦争中に軍用メインフレームをプログラミングした専門家には、トピックを徹底的に研究する時間がありませんでした。 彼は管理者に、分析のためにNIST従業員の実際のパスワードを確認するように頼みさえしましたが、機密データを保護する理由で不意に拒否されました。
管理者は、リクエスト自体にも驚きました。 経験的証拠がないため、バーは80年代の科学的研究に導かれました。これは発見された最高のものです。 15年後に判明したように、彼は間違った選択をしました。
2017年6月、NIST Special Publication 800-63B標準の2年間の処理が完了しました。 当初は簡単な編集に限定することを計画していましたが、その結果、従業員のグループはすべてをゼロから書き直さなければなりませんでした。 新しい規則では、特殊文字(疑問符や感嘆符など)を使用するための必須要件はなく、必須パスワードの変更に関する要件はありません。
最後に、NISTの専門家はマンローコミックストリップからエントロピーのポイントに到達しました。更新された標準では、覚えやすいがブルートフォースが難しい長いパスフレーズの使用を推奨しています。
現在、パスワードを変更することは、パスワードを危険にさらす可能性がある場合、つまり漏洩の兆候がある場合にのみ推奨されます。
さて、最後に、正義が勝利しました。 多くのセキュリティ専門家が語ったことは、NISTレベルで公式に認められています。 小文字、大文字、数字、特殊文字を選択して、3か月ごとにパスワードを愚かに変更した何百万人ものユーザーは、このプロセスの不条理を直感的に感じました。そして今、彼らも安reliefのため息をつくことができます。 新しいルールでは、覚えやすいパスフレーズを使用する必要があります。 これらは、詩の行または任意の文です。 ハッカーは、40文字のフレーズを総当たり攻撃するために、単語互換性グラフを備えた新しい辞書を使用する必要があります。 これは、任意の文字で8文字のパスワードをねじるよりも複雑です。
研究者は、4つの任意の単語のフレーズでさえ、ブルートフォースから確実に保護するために十分に高いレベルのセキュリティを提供すると言います。
すべてのユーザーが毎日約1,300年をパスワードセットに費やしているため、適切な推奨事項を作成することが非常に重要です。 ただし、パスフレーズを使用すると、人類が費やす時間はさらに長くなります。 しかし、その後、パスワードのエントロピーも増加します。これはより重要です。