・管理者の多要素認証 のバックアップ(No.3)
IPAセキュリティPT評価版?
攻撃者から見たシステム管理者 †
システム管理者はアカウント管理やバックアップ、セキュリティ設定など、システム運営における重要な業務を執り行います。従って、攻撃者はシステム管理者になりすますことで、システム全体のコントロール権を奪い、重要な情報資産や個人情報を窃取します。しかも、システムやデータの破壊、改ざんも可能なことから極めて重要な情報という事ができます。
そのため、システム管理者の認証情報は、重要な情報資産や個人情報と同等以上の保護が必要です。
認証に関する技術的な動向 †
認証に関するガイドラインは米国国立標準技術研究所(NIST)の電子認証ガイドライン(SP800-63-3)がよく知られています。NISTは、連邦政府システムの最小要件を含む情報セキュリティの標準とガイドラインを作成する責任がありますが、強制力や義務ではないとされており、連邦政府機関に技術的要件を提供するものと明確に記述されています。
一方で、クレジットカード業界のセキュリティ規格であるPCIDSSはNISTの見解を反映させた新しいバージョンを2020年後半にリリースするとしており、SP800-63-3はデジタル認証の標準ととらえることができます。
他方、SP800-63-3では、以下の特徴的な改訂を行っています。
- パスワードはランダムに決定する場合6文字
- ユーザが決定する場合は8文字以上
- 複雑な要件は求めない
- 定期的変更は求めない
- 連続した文字列や辞書に含まれる単語などを受け付けない
- パスワード強度メーターの推奨
複雑な要件は求めない †
複雑なパスワード(大文字、小文字、数字、記号を組み合わせる)は、ユーザーが書き留めてディスプレイに貼る、
定期的変更は求めない †
2016年のノースカロライナ大学の研究で、10,000を超えるアカウントのパスワードの分析から、調査したアカウントの17%について、ユーザーの以前のパスワードを知っていれば、5回以下で現在のパスワードを推測できることが報告されています。これは、定期変更が求められた際に、文字を数字や記号に換えたり、記号を追加したり削除し、似通ったものを新しいパスワードとして登録する人が多いことを示しています。
その結果、攻撃者にとって定期変更は障壁ではなく、かえって安全性を損ねるものという判断がなされました。