トリコロールな猫/セキュリティ

思いついたことをぼちぼち書いてます。

航空会社のパスワードについて調べてみました〜2018年版

航空会社のパスワードについて調べてから4年経ったので、また調べてみました。

security.nekotricolor.com

ルールは前回と同じです。

  1. 最初に日本語のサイトを確認
  2. 日本語のサイトが存在しない場合、(国を選べる場合は)日本の英語サイト→(国を選べる場合は)アメリカの英語のサイト→その航空会社の国の英語サイトの順
  3. 実際に登録はしていないため、登録ページやFAQなどにぱっと見情報がないものは掲載していません

4年前と比べてログイン機能を提供する航空会社が増えた印象ですが、登録時に住所やパスポート番号などの個人情報を要求するところも増え、調べられなかったサイトも多かったです。

ちと設定が古いのは否めませんが、前回も参照した情報漏えいを防ぐためのモバイルデバイス等設定マニュアル:IPA 独立行政法人 情報処理推進機構から、強度が十分なパスワード(=ブルートフォース攻撃でのパスワード破りが現実的でないパスワード)の文字種と文字数を「大小英字+数字、12文字以上」として、合格している航空会社は緑字にしてみました(最長何文字か書かれていない場合は除外)。逆に、数字のみのところは赤字にしました。

数が多いのでアライアンスごとに分けてます。

スターアライアンス加盟会社

航空会社名 記号 文字数
アビアンカ航空 8〜14
エア・カナダ 6〜10
エーゲ航空 8〜30
エジプト航空 4〜10
エバー航空 6〜12
LOTポーランド航空 6〜
オーストリア航空 10〜40
コパ航空 8〜
シンガポール航空 6
スイスインターナショナルエアラインズ 5〜20
スカンジナビア航空 6〜12
全日本空輸 8〜16
中国国際航空 6
トルコ航空 6
南アフリカ航空 4
ユナイテッド航空 8〜32
ルフトハンザドイツ航空 8〜32

ワンワールド加盟会社

航空会社名 記号 文字数
アメリカン航空 6〜16
イベリア航空 6
カタール航空 8〜12
キャセイ・パシフィック航空 8〜
スリランカ航空 8
日本航空*1 6
フィンランド航空 8〜32
ブリティッシュ・エアウェイズ 6〜
マレーシア航空 6〜12
ラン航空 8〜

スカイチーム加盟会社

航空会社名 記号 文字数
エールフランス 8〜12
KLMオランダ航空 8〜12
チャイナエアライン 6〜10
中国東方航空 8
デルタ航空 8〜20

まとめ

前回、合格としていた「大小英字+数字、12文字以上」のパスワードを設定しているのは34社中9社でした。今回は、32社中16社と、明らかに増えています。さらに、記号を使えたサイトが前回は2社しかなかったのが今回は14社。4年間でセキュリティ意識が高まったと言っていいのではないでしょうか。とてもいいことだと思います。

嬉しかったのでこの4年間で文字の長さや種類が増えたサイトを列挙。

航空会社名 2014年からの変化
アビアンカ航空 英数のみ文字数不明→英数記号文字数8〜14へ
エバー航空 英数のみ文字数6〜8→英数記号文字数6〜12へ
ルフトハンザ航空 英数のみ文字数4〜16→英数記号文字数8〜32へ
アメリカン航空 英数のみ文字数6〜12→英数記号文字数6〜16へ
カタール航空 英数のみ文字数6〜12→英数記号文字数8〜12へ
キャセイ・パシフィック航空 数のみ文字数6〜8→英数記号文字数8〜へ
フィンランド航空 英数のみ文字数8〜32→英数記号文字数8〜32へ
ラン航空 英数のみ文字数6〜→英数のみ文字数8〜へ
エールフランス 数のみ文字数4→英数記号文字数8〜12へ
チャイナエアライン 英数のみ文字数6〜8→英数のみ文字数6〜10へ
デルタ航空 英数のみ文字数6〜20→英数記号文字数8〜20へ

記号に対応するついでに文字数も増やした、という感じですかね。ルフトハンザ航空、フィンランド航空、デルタ航空が英数記号使えて8文字以上必須、32文字までOKという幅広さで好き。
にしてもラン航空やチャイナエアラインはなぜそんな微妙な変更を・・・?

以下余談。
NISTが「パスワードは(英単語そのままとかでなければ)8文字以上ってことでOK、数字のみでもいいし。大事なものは2段階認証など他の方法も使って守りましょう。」的なことを言い出しています。

  • Passwords obtained from previous breach corpuses.
  • Dictionary words.
  • Repetitive or sequential characters (e.g. ‘aaaaaa’, ‘1234abcd’).
  • Context-specific words, such as the name of the service, the username, and derivatives thereof. *2

総務省の「IDとパスワード > 設定と管理のあり方」JPCERTの「適切なパスワードの設定・管理方法について」でも追従しているので、今後はそうなっていくのでしょう。でもシステム側でそれをチェックするのはなかなかめんどくさそうですね。辞書と突き合わせるのはともかく、過去に漏えいしたことがあるパスワードとかどうやってチェックしろというのか。

とはいえ個人的には文字種や長さの選択肢が増えることはいいことだと思っています。現実問題、すぐに2段階認証を取り入れるのは難しいサイトの方が多いでしょうから、当分パスワードのみで管理する状況は続くでしょうし。ただ長くて記号を含むものを「必須」とすると、使い回しや類推しやすいものにする人が増え結果的に脆弱になるというのはありそうですね。

さらに余談ですが前回記号が使えた2社のうちの1社だったエア・ベルリンは2017年に破綻しルフトハンザ航空に吸収されたとか。諸行無常・・。

また4年後、カタールW杯の年に調べてみたいと思っています。そのときには人類はパスワード管理から解放されているのでしょうか。

*1:日本航空ははチケットの購入などにはWebパスワード(英数記号文字数8〜16)という別のパスワードが必要です。そっちを含めると表が変わってきますが、他社ではそこまで調べていないので、あくまでログインに必要なパスワードということで。

*2:NIST Special Publication 800-63B Digital Identity Guidelines「5.1.1.2 Memorized Secret Verifiers」より