新しい記事 ≪≪≪≪≪ トップページ ≫≫≫≫≫ 古い記事

なんで6桁かなぁ

Tweet
最近、セキュリティ強化という事でいろいろなシステムで、パスワード登録の基準が見直されている。まぁ、それ自体は良いことなのだが…。


先日久しぶりにみずほ銀行のオンラインバンキングを使いました。その際、やっぱパスワードが短いのはまずいだろうと思い、パスワードを変更しようとした。
ところまでは、良かったのだが…

みずほ銀行のシステムが要求するパスワードは、英文字+数字で6桁なのだという。
一番困るのは、6桁以上とか、4桁〜6桁とかじゃなくて、6桁キッカリということ。そう都合よく6桁の英数字なんて思いつくわけ無い。思いついたとしてもすぐ忘れちゃうよ!意味無いよ!
でも、変えないと4桁の数字という脆弱なもののままだし…

という事で、悩んで悩んで悩んだ挙げ句、他で使っている4桁の数字から規則的に合成する方法で、忘れにくいものを考え付いてそれで打ち込みました。
2〜3週間経過したけど、とりあえず今でも覚えているので、まぁ大丈夫でしょう。

それにしてもですよ、なんで6桁とか8桁とかを上限にするかねぇ、パスワードとして。
まぁ、上限設けないってのはシステム的に恐ろしく難しくなるから上限を設けるのはしょうがないとして、その上限の桁数が少なすぎ!ってもんですよ。
自分なら、例えば64文字ぐらいを上限にしておくかなぁ。
で、6文字以上64文字以下で、英数字が必須で、特殊記号もサポートしているってのが柔軟性があって良いと思う。
データベースにはバカ正直に全部格納する必要はなくて、何らかの秘密鍵とともにハッシュ関数を通した一定の長さのデータとして記録しておけば良い。
ね、簡単でしょう?
下手に6桁とか言われると、「こいつ、データベースにそのまんま格納してるんじゃないだろうな?」と、ちょっと疑心暗鬼になっちゃいます。
パスワードたるもの、他で同じものを使ったりもするわけで、それ自体流出すると、限りなく被害が大きい。
だから、パスワードそれ自体は入力された端からハッシュを通して、後はハッシュ値で比較するのみ、データベースに格納するのもハッシュ値にするというのが正しい設計だ。
だが、世の中にはセキュリティに疎いシステムエンジニアもいるわけで、ちょと恐いですねぇ。私のパスワード大丈夫かなぁ?
こういう、社会全体の底辺でレベルが決まるような問題については、何らかの設計基準を作り、守らせるというような規制が必要だろう。
情報システムで、パスワード保護するようなものは、何らかの基準を満たしているか否かを検査する人がいて、検査に合格したか否かを表示するとかいうのがいいんじゃないだろうか。
そうして、タコなシステムを世の中から締め出すのだぁ!

セキュリティは大事だよぉ〜。
2005年03月17日 00時00分00秒 by miraclecat - カテゴリ:暗号・セキュリティ



コメント

ばぐさんのコメント:

今意味のあるハッシュ値となるとSHA-1でしょうか(すでに危ないとは言われていますが、MD5よりはましでしょう)。となると6桁では入りきりませんね。もちろん、6桁なんて短過ぎてもともと無意味なんですが。
2005年03月17日 21時11分06秒

miraclecatさんのコメント:

今はSHA-2なるハッシュもあるようです。(MD5の時ブログネタにしようと思ったのですが時間が無くて書いてません…)
何にしてもちゃんとしたセキュリティ設計して欲しいものです。
2005年03月18日 01時57分36秒

miraclecatさんのコメント:

やっぱダメだった。_| ̄|○

久しぶりにログインしようとしたらシッカリ忘れていて、全くログインできない。ホントにもう、困ったものだ。
コールセンタに電話して解除してもらわないとね。
2005年11月19日 12時54分19秒

コメントの追加

:

:
: