Microsoft担当「パスワードの長さや複雑さは重要ではない」

Microsoftの個人情報部門セキュリティ保護チーム所属の「アレックス・ヴァイネルト」氏が、情報セキュリティにおいて、パスワードの設定に関しての重要性についてコメントまとめてを発表しております。

重要なのは、攻撃者のパスワード突破がどのようにされるのかを知ること

ヴァイネルト氏は「パスワードについての言説は誇張されたものが多く、実際にはパスワードの長さや複雑さはそれほど重要ではない」とコメントしております。
パスワード設定において一般的に普及している、他人に判明しづらい独自の文字を混ぜたり、文字数を多くすることより知るべき情報があるとのことです。

それは、悪意のある攻撃者がパスワードを突破する流れを理解しておくこととして、以下具体的に複数の例を基にパスワードの強弱に絡めて説明しております。

 
【パスワードの強さ:関係ない】
・クレデンシャルスタッフィング攻撃
なんらかのルートで流出したパスワード情報を利用されるため、いかに強固なパスワードであっても、効果がでない状況に陥ります。また、この手法は、かなり流行しており、よく不正アクセスに用いられることで知られています。

・フィッシング詐欺
個人や企業、サービスになりすましたメールなどからリアクションさせるため、パスワードが設定の強さは関係ないと見られます。

・キーロギング
トロイの木馬やスパイウェアといったマルウェアがすでに仕掛けられており、そこからターゲットのキーボード入力情報を入手されてしまいます。これにより、パスワードの強固さは無関係と言えます。

 
【パスワード強さ:関係あり】
・パスワードスプレー攻撃
不特定多数に対して、簡易なパスワード(123456、password、000000など)を順次試して不正アクセスを図る手法ですので、複雑なパスワードに設定しておくことは効果があります。

・ブルートフォース攻撃(総当たり)
ターゲットを絞った集中攻撃で、考えられる文字列を片っ端から試して侵入を試みる手法ですので、パスワードの強固さは重要となります。
 

ヴァイネルト氏は、パスワード設定に関して以下のようにまとめております。

「極端にセキュリティの低いパスワードでさえなければ、パスワードの複雑さそのものがセキュリティに大きな影響を与えることはない。
パスワードについて頭を悩ませるのではなく、デバイスのセキュリティやネットリテラシーを高め、パスワードと別の要素を組み合わせた多要素認証を用いることが、パスワードの複雑さよりもはるかに重要」
 

【参考URL】
セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか? – GIGAZINE