• 前提として

最近セキュリティー監査がなかなか厳しいご時世になってきてますが、パスワードを厳格化することをシステム要件として組み込んでくれ、という要件が多くなってきています。まぁ、一言、メールとかで連絡しておけばよいわけですが、システム側でも防いでおくというところでリスクヘッジしたいということなんでしょうか。

• 安全なパスワードに使える記号って?

さてそんなところで、

• • 英語、数字、記号からすくなくともn種類以上を組み合わせてパスワードに・・・・

という要件がでてくるんですが、そもそもパスワードに使える記号とはなにか、というところでちょっと悩んでます。

一応半角英語全部で33種類くらいあるんですが、これを全部許可してあげないと、いけないのか、或いは、アプリケーション・ミドルウェアの誤動作やセキュリティリスクなどを考えると、ある程度きりにいかないといけないのか、勘所です。

そもそも共通して安全につかえる記号をうえぽんSW局さんが分析していた記事があったので参考になりました。

# $ - = ? @ [ ] _
うえぽんSW局さんより
http://shinshu.fm/MHz/14.30/archives/0000168860.html

• 感想

実態としては、9種類かー
総当りでいっても* 9乗の強度しかないので単に推測されやすいパスをヒューマンクラックされないように、という配慮なんでしょうが、、

• 携帯版とかで共通だと厄介なことに

とくに携帯版があってこちらも同じパスワードをつかうという設計になっているアプリでこれを適応しはじめると、結構、苦痛というか、ほぼ携帯不可になっちゃいますね。。。この要件のために機種キー認証も組み合わせるとかしないといけないのかもしれないですね。