パスワードのポリシー
先日のLinux Mintへの攻撃を受け、パスワードのポリシーが変更されました。
フォーラムのパスワードは、以下の条件を満たすパスワードのみ受け付けるようにしたとのことです。
- 10文字以上
- 記号を含む
- 数値を含む
- 大文字小文字が混在する
コミュニティーのウェブサイトのパスワードは、生成及びリセットのみ可能にし、ユーザーによる独自のパスワードの設定を行えないようにしたとのことです。
我々のサーバーで保持している情報の中で最も慎重に扱わなければならない情報は、ユーザーのパスワードである。
攻撃者にとって、ユーザーのパスワードは価値のある情報である。
ユーザーのパスワードは暗号化されているが、攻撃者がそれを狙う理由は以下の2点が挙げられる。
1.ユーザーのパスワードを暗号化して保持しても、パスワードによっては単純なデータになってしまい、攻撃者はパスワードの復元が可能である。
2.ユーザーによってはパスワードを様々なウェブサイト(ウェブサービス)で使いまわすため、攻撃者は入手したパスワードを利用して本人になりすまし、他のウェブサイトのアカウントを乗っ取ることができる。
攻撃者にとって真に価値のある理由は、「2.」の理由である。
例えばLinux Mintのフォーラムでアカウントを作成する際、自分のメールアドレスである「joe.user@gmail.com」を使用してアカウントを作成した「joe123」ユーザーがいたとする。
「joe123」は、GmailやPaypalなどで他のウェブサイトで使用しているパスワードと同じパスワードをLinux Mintのフォーラムでも使用していたとしたら、流出したパスワードから彼が使用していると思われるサービスにログインしようとするだろう。
[パスワードのポリシー]
パスワードという情報の価値を低めクラッキングの対象になりにくくするため、パスワードのポリシーに以下の変更を行った。
フォーラムのパスワードは、以下の条件を満たすパスワードのみ受け付けるようにした。
- 10文字以上
- 記号を含む
- 数値を含む
- 大文字小文字が混在する
コミュニティーのウェブサイトのパスワードは、生成及びリセットのみ可能にし、ユーザーによる独自のパスワードの設定を行えないようにした。
