セキュリティ講座第２段

制作　FREEDOM SOFT

前回の講義
　第１段目（セキュリティの重要性）

　お久しぶりです。簡単セキュリティ講座第２段です。今回は、「パスワード」について説明していこうと思います。
　今、あなたはパスワードをいくつ持っていますか？　インターネットのパスワード、シェアウェアのパスワード、SUPER PROTECTOR のパスワード...。いろいろとあるはずです。少なくともこのページを見ている人は、１つ以上のパスワードは必ず持っているはずです。
　ここでは、パスワードについてちょっとした、講義を行っていきます。いちいち、読むのが面倒な方は印刷するといいかもしれませんよ。

よく、雑誌などでパスワードの事を「鍵」と表現している場合があります。たとえば、暗号化を行うときのパスワードを「鍵」と言う場合です。これは、暗号化処理した情報を「金庫」と例えた時です。非常にわかりやすい表現だと思います。  　しかし、本物の金庫の鍵とパスワードでは、どこが違うのでしょうか？  　この違いは、ハードウェアとソフトウェアの違いを意味しています。ここで、ちょっと、ハードとソフトの違いを説明しますね。

ハードウェアとは、コンピューターで言うと「ディスプレイ」とか「プリンター」とかを指します。つまり、機械そのものですね。それに対して、ソフトウェアとは、フロッピーディスクの中に入っている文章やプログラムの事を指します（フロッピーディスク自体はハードウェアになります）。  　もっと、簡単に言えば、ハードウェアはデッサンのモチーフになる物です。ソフトウェアはモチーフにはなりません。  　つまりハードウェアは実在（目に見える形で存在）しますが、ソフトウェアは実在しません。ただ、状況や考え方によってハードとソフトの境が異なる場合があります。  　さて、これで、ハードとソフトの違いが少しわかりましたね。  　鍵の話に戻りますが、本物の金庫の鍵とパスワードをハードとソフトに分類するとするとどうなるでしょう。そう、本物の金庫の鍵はデッサンできますね。しかし、パスワードは残念ながらデッサンできません。そう、パスワードは人の頭の中に入っているからです。つまり、パスワードは安全性を人の記憶に依存する特殊な物なのです。

　暗号ソフトでは、必ず目にするビット。SUPER PROTECTOR も２０４８ビット暗号を搭載しています。ビットの意味はいったいなんでしょうか？

　ビットとは、「０」と「１」の２通りの表現をできる文字と考えてください。１ビットとは１文字分を意味しており、２通りしか表現できません。ちなみに、アルファベットは１文字で「A」〜「Z」まで２６通りの表現できます。

どうして、２通りしか表現できない文字が必要なのでしょうか？　これは、コンピュータの話になってしまいます。コンピュータは、私たちの使っている言葉を理解することが出来ません。コンピュータが理解できる言葉は、この２通り（スイッチのオン・オフ）しか表現できない文字しか理解することしかできません。  　「それじゃぁ、２通りでどうやって操作しているんだ？」という疑問が湧いていきます。それは簡単なことです、ビット数を増やせばいいのです。つまり、２ビットでは２×２通りの表現できます。４通りの表現が可能となるわけです。ビット数を増やしていくことによって、どんどん細かい物まで表現できるようになります。ちなみに、Windows95では３２ビットです（厳密にはちょっと意味が違います）。

　さて、暗号ソフトのビットの話に戻しますね。このビット数とは、パスワードがとりうる場合の数を意味しています。たとえば、４０ビットですと２の４０乗（＝ 1099511627776）通りのパスワードを入力することが可能と言うことです。

ジャラ　　「すっげぇ、一・十・百...一兆通りものパスワードが使えるのか？」
ロトト　　「だから、この一兆通りの中から正確なパスワードを１つ見つけるの事の難しさに暗号強度を依存していると言うことだよ。」

ジャラ　　「これなら、安心できるね」
ロトト　　「そうとも限らないんだな、これが。」

実際は、この４０ビット暗号はあまりにも強度が低すぎて話になりません。パスワードで使える数が少なすぎるのです。「一兆！」と思われるかもしれませんが、今お使いのコンピュータでさえ、この程度のパスワード解析処理は有限時間内（「解読した」と満足に言えるくらいの時間）に可能です。  　また、この数字はすべての文字をまんべんなく使った数です。つまり、記号なども含めた数字です。記号とは、「!"#$%&'」などの文字です。  　さらに、パスワードは当然「０」と「１」で入力するわけではありません。ですから、実際にはもっとビット数が低いと考えなければいけません。半角英数文字（記号も含む）とした場合、１文字につき８ビットずつ暗号強度が増加していきます（正確にはビットで表現できない）。全角文字の場合は、１文字につき１６ビットの増加となります。  　話をまとめてみますと、一般的に言われている暗号強度とはビットで表現されています。また、暗号強度が高いとは、使用できるパスワードの数が多い事であり、解読するときに膨大なパスワードの中から一つの正確なパスワードを特定する困難さの問題であることです。

　上の画像の補足説明です。累乗（るいじょう）の意味がわからない方のために解説します。「意味」の下の数字は、２の上隣に小さいサイズの数字が書いてあります。２をかけあわせる回数を意味しています。
　２の隣の４０と書いてある場合は、２×２×２×...を４０回繰り返す事です。これを２の４０乗（２の４０乗）と言います。電卓では「２×２×...」と続けても、たいてい十数回で「E」という表示が出てきてしまって計算できないはずです。このように、ビット数と実際使われている１０進法ではあまりにも世界が違うので、１０進法表示には十分気を付けてください。
　なお、SUPER PROTECTOR の２０４８ビットを１０進法表示すると「０」が６１６個も連なる数字が登場します。

ジャラ　　「１文字で８ビットの増加か、十分なんじゃないの？」
ロトト　　「でも、実際にパスワードに英単語を使っている場合はどうかな？」
ジャラ　　「どういうこと？　５文字だと４０ビットを維持できるんじゃないの？」
ロトト　　「英単語にも限りがあるということを忘れちゃいけないぞ。」

　パスワードを解析するとき、辞書攻撃という方法があります。これは、辞書にある単語を試していくという方法です。４０ビットですと半角英数に変換しますとパスワードは５文字までに限定されます。さて、ここで５文字以内の英単語をあげてみてください。たぶん、いっぺんで数単語しか思い浮かばなかったと思います。
　こうして考えてみると、使えるパスワードはどんどん少なくなっていくのがわかります。こう考えると当然、４０ビットは使い物にならないと言うのがわかりますね。

　さて、一般的に主流になっている暗号ソフトの強度は、５６ビットから３２０ビットくらいです。しかし、簡単なパスワードでは当然、意味が無いことがこれでおわかりいただけたでしょうか？
　当然、SUPER PROTECTOR の２０４８ビット暗号も簡単なパスワードでは、無意味な物になってしまいます。

　安全なパスワードとは、どういうパスワードでしょうか？　当然、どんなパスワードでも、理論的にはいつかわ解読される運命になります。ただ、解読される時間をできるだけ先にする方法をお教えします。 

パスワード・鋼鉄の鉄則

１，英単語を使わない
２，大文字や小文字や記号を入れよう
３，少なくとも８文字以上入力
４，ＩＤとかと一緒にしない
５，メモしない

１，英単語を使わない 　これは、先ほどいいました、辞書攻撃をさけるためです。英単語でなかればローマ字などもいいかもしれません。当然、辞書攻撃では解読されません。  ２，大文字や小文字や記号を入れよう 　大文字や小文字などいろいろな文字をパスワードに含むことで、パスワードが１文字でとる場合の数を増やす目的があります。大文字と制限を付けますと１文字で２６通りですが、すべての文字（キーボードから文字と認識できる文字）を入力できるようにすると、１文字で９６通り考えられます。こうなると、文字が増えていくごとにどんどんパスワードの数が増えていきますね。  ３，少なくとも８文字以上入力 　これは、いままで説明してきた事ですので、簡単なことですね。つまり、８文字以上ですとかなりの通りの数です。ちょっとやそっとの攻撃では、歯が立たなくなります（６４ビットを維持できます）。  ４，ＩＤとかと一緒にしない 　ＩＤとは、ログイン名とかと呼ばれています。インターネットなどでは必ず、ＩＤとパスワードの入力が必要です。通常の暗号ソフトでは、ＩＤは使われることがありませんね。  　ＩＤとかと一緒のパスワードは、全くパスワードとして意味がありません。絶対にしないでくださいね。（後で登場しすが、「特定されやすいパスワード」の事です）

５，メモしない
　これは、一番重要な要素です。よく、「念のため」とパスワードをメモしている人がいますが、先ほどの説明より、パスワードはソフトウェアです。よって、複写がとても簡単です。誰かに見られたら、それがどこかで使われている可能性は無視できません。メモにとるような事はしない事をおすすめします。
　では、覚えきれない人はどうしましょう。FREEDOM SOFTでは、PASSWORDS MANAGERという製品を公開しています。これは、パスワードを管理することを目的としたソフトです。ぜひ、一度ダウンロードしてお使いください。なお、初心者にも満足できると思います。

ジャラ　「じゃぁ、１００文字のパスワードを使うようにする！」
ロトト　「お前、覚えられるのか、それを。」
ジャラ　「無理...。」

ロトトの言うとおりです。でたらめな、１００文字のパスワードが入力できたとしても、覚えきれない場合があります。必ず、自分で覚えきれるパスワードを入力してください。また、SUPER PROTECTOR ではジャラの言うような、１２８文字までパスワードを設定できます。ただ、全角文字が使えるので「パスフレーズ」という使い方もできます。フレーズとは、熟語とかそういう意味があります。ですから、「俺は、今日学校へ行って、寝てきて家に帰ってまた寝て...」とかそういうパスワードも可能と言うことですね。ただ、あくまで覚えきれる範囲で行ってください。  　SUPER PROTECTOR には、キーファイルというパスワードの一部を保存しているファイルが生成されます。これは、解読するとき入力するパスワードの他に必要になるファイルですが、覚えきれない部分を保存しているファイルと考えていいでしょう（キーファイルからの解読は不可能。必ず、パスワードが必要になります）。また、機密を保持するために、キーファイルを隠し持っているという事が出来るようになります。

ジャラ　「よくネットワークとかで、『推測されないパスワードを設定してください』とかあるけど、推測されないってどんなのだろう？」

ロトト　「実際に、自分で推測されないパスワードを考え出すのって難しいよね。ただ、自分のＩＤとか無線のコールサイン、自分の名前を使わなければ、十分大丈夫だと思うよ。」

ジャラ　「それに、上の条件を満たしていれば大丈夫だよね？」
ロトト　「うん。大丈夫だと思うよ。」
ジャラ　「あんたは、ふられた女の子を入力すれば大丈夫ね。だって、数が多すぎるもの。」
ロトト　「お前、帰れよ！」

　自分で、推測されないパスワードのを作るのはとても難しいです。ただ、今の解読技術は成長していますので、機械的にパスワードを攻撃していきます。ですから、先ほどの条件を満たしていることが最低の条件となります。
　PASSWORDS MANAGERでは、自動的にパスワードを生成する機能がついています。当然、自分の設定通りの好みのでたらめなパスワードを生成します。ぜひ、お使いください。
　なお、余談ですが、どうして銀行などのクレジットカードの暗証番号は４桁の数字なのでしょうか？　これは、人間工学に沿っているようです。人間の脳はそうでたらめな数字を覚えられるようには出来ていないようです。確実に正確に覚えられる数字の桁数の限界が４桁だとか。そこで、暗証番号は４桁だそうです。でも、コンピュータ世界のパスワードは、１００００通りですと意味がありません。疲れをしならないプログラムが黙々と攻撃をし続けます。銀行ですと数回間違えると、警備員が飛んできますが、コンピュータは警告一つも登場しません。最後の守ってくれるのは、パスワードということです。

　さてさて、保守点検とはそれといって大げさにするものでもないのですが。SUPER PROTECTOR のよなバックアップ（ファイルの暗号化）的な要素のパスワードは定期的に変更する必要はありません。なぜなら、頻繁に他人から盗まれる心配が無いからです。

　ただ、ネットワーク上で転送しているという場合は、パスワードを変える必要がありますね。また、インターネットなどネットワーク上のパスワードは定期的に更新するべきでしょう。
　だいたい目安として１ヶ月ごとに行うといいでしょう。そんなに頻繁に変更する必要は無いと思いますが、機密の度合で判断してください。
　パスワード変更には、先ほど紹介した、PASSWORDS MANAGERに自動パスワード生成機能がついています。そちらを参考にしてください。

　パスワードとは意外とセキュリティの盲点です。というのは、インターネットのログインも「パスワードの保存」などで保存している場合が多いのです。ですから、できるだけこの講座を受けてパスワードの事を少しでも理解してくれれば、FREEDOM SOFTとしてはとても幸せです。
　「パスワードを解読するやなんざ、いるわけない」という方もいるかもしれません。ただ、困るのは自分であると言うことをお忘れなく。もし、パスワードが破られたことによって、他の人が被害を受けたらそれはもっと大変です。
　ですから、今からあなたのパスワード総点検を行ってみてはどうでしょうか？

　さて、どうでしたか？
　パスワードの事を少しでも、理解していただければ幸いです。
　今、FREEDOM SOFTでは、この講座に関するご意見やご感想をお待ちしております。ぜひ、メールを送ってください。送ってくれた方には、必ず返信いたします。メールはこちらからどうぞ。

それでは、またここの場所でお会いしましょう！

戻る　

トップに戻る

ホームに戻る