初めに
- どこかのサイトを利用する時、IDとパスワードでログインすることが、必要です。
- 筆者は楽天市場で買い物をしたり、レンタルサーバを利用する時、このIDとパスワードでログインしています。
- さて、このIDとパスワードを悪意ある他者に盗まれてしまったらどうなるでしょうか?
ログインの脅威とその防衛
- みなさんは、ネットでの買い物サイト・ポイ活サイト、レンタルサーバなどを利用する時、ログインするはずです。
- 最も典型的な、ログイン方法は、IDとパスワードですが、最近では、2段階認証も増えてきています。2段階認証については、後述します。
- さて、仮に利用しているサイトが悪意ある他者にログインされてしまったと考えましょう。
これ怖いし、嫌ですよね。まさにログインの脅威です。そして、その防衛をしたいですよね。 - それぞれの人が、利用しているサイトごとに価値の重要度を持っていると思います。
悪意ある他者に荒らされても諦めのつくサイト・悪意ある他者に荒らされると生活に影響のあるサイトなどです。
ここでは、生活に影響のあるサイトなどについて考えます。
悪意ある他者にログインされてしまった時の被害
- 買い物サイトの被害:自分のクレジットカードが利用されて、品物が他者に届くかもしれません。
- メールの被害:自分のメールが盗み見されたり、自分の送ったメールが改ざんされたり、知らないメールを送られたりするかもしれません。
大事なメールは、フリーメールを使用しないことが大事です。フリーメールは、セキュリティ(防衛)が脆弱です。
2段階認証
- 2段階認証を簡単に説明すると、IDとパスワードと「後1つ以上のログインの防衛方法」を2段階認証と呼びます。
- 「後1つ以上のログインの防衛方法」は、大きく分けて2種類あります。
- ①ハードウエアに依る方法
- ②ハードウエアに依らない方法
- ①ハードウエアに依る方法は、ログイン時に、IDとパスワードによる認証が行われた後に、例えば次の認証が必要になります。
- 登録してあるスマホに「ログインしようとしてるのはあなたですか?」と通知が来て、「はい」を選択すると、認証完了となりログインできます。
- 登録してあるスマホに電話が来て、音声でワンタイムパスワードが送られてきて、それを入力すると認証完了となりログインできます。
- 他にも方法がありますが、スマホを紛失したりしなければ、かなり有力なセキュリティ(防衛)となります。
- ②ハードウエアに依らない方法は、ログイン時に、IDとパスワードによる認証が行われた後に、例えば次の認証が必要になります。
- 登録してあるメールアドレスにワンタイムパスワードが送られてきて、それを入力すると認証完了となりログインできます。
- 他にも方法がありますが、ハードウエアに依る方法に比べれば、セキュリティ(防衛)が弱いと思われます。
重複順列を用いたパスワードの強度の説明
この記事では、最も基本となるセキュリティ(防衛)のパスワードの強度の説明を行います。
重複順列とパスワード
- 重複順列は、e=要素の種類数、n=要素数(桁数、配列数)から、場合の数=enが計算されます。
- 悪意ある他者の最も基本的なパスワードを破る方法は、総当たり攻撃(場合の数を順番に試す方法)です。よって、場合の数が少ないパスワードは簡単に破られます。逆に、現代のコンピュータでも破られない(あるいは、破るために数年必要)場合の数のパスワードは、簡単には破られません。
- パスワードのe=要素の種類数は、数字(10種類)、英小文字(26種類)、英大文字(26種類)、記号(10種類くらい)の計70種類くらいが主流です。
場合の数の一覧表
- 下図の一覧表の横にe=要素の種類数、縦に桁数とします。
- 尚、8桁以上であれば、破ることが困難であると言われています。
| 62 | 72 | |
| 4 | 1.48E+07 | 2.69E+07 |
| 5 | 9.16E+08 | 1.93E+09 |
| 6 | 5.68E+10 | 1.39E+11 |
| 7 | 3.52E+12 | 1.00E+13 |
| 8 | 2.18E+14 | 7.22E+14 |
| 9 | 1.35E+16 | 5.20E+16 |
| 10 | 8.39E+17 | 3.74E+18 |
| 11 | 5.20E+19 | 2.70E+20 |
| 12 | 3.23E+21 | 1.94E+22 |
最後に
- けつろんとしてこの記事は、「数学(重複順列)がこんなところにも使われているんだな」と興味を持ってくれることを願って書きました。
- 筆者は、セキュリティの専門家ではありませんので、詳細は専門家にお尋ねください。
- 尚、筆者は、筆者なりにセキュリティに最善を尽くしますが、破られることを前提にバックアップからデータを再現できるようにしています。