ライフハッカー［日本版］

分かり難いパスワードを設定することがいかに大切かということは、ライフハッカーでも口を酸っぱくして何度も言ってきました。それでもまだ多くの人が、分かりやすくて安直なパスワードを使い続けています。3,200万人分のパスワードを分析しても、未だによくあるパスワードの上位はこんな感じ（画像参照）なのです。

去年の12月、FacebookなどのSNSにマルチメディアスライドショーなどを提供している「RockYou」が、パスワードデータベースの情報を漏洩しました。3,200万人分のパスワードとログイン情報が、一人のハッカーの手によって公に晒されてしまったのです。

セキュリティ会社の「Imperva」は、3,200万人のパスワードをくまなく調べ分析しました。その結果、RockYouのユーザーが設定しているパスワードの欠点と、パスワードがあまりにも更新されなさ過ぎるという嘆かわしい事実を、「Consumer Password Worst Practices（PDFファイル）」（一般ユーザーのパスワード設定における最悪の習慣）と題してまとめました。

1990年にUnixが発表したパスワードの安全性に関する研究結果と、今回漏洩した32万人のパスワードの傾向には、非常に多くの共通点がありました。ちょうど10年前にハッキングされたHotmailのパスワードとも、ほとんど変わっていません。結局、どんなにプライベートな情報があるサイトでも、ユーザーはとても分かりやすいパスワードをつけてしまいがちなのです。

RockYouのパスワードがいかにマズイかというと、まず「123456」というパスワードを付けた人が30万人近くもいたのです。「12345」や「1234567」など、順に並んだ数字をパスワードにしている人の数を合計すると、全体の半数の約100万人にも上りました。さらに驚愕すべきは、「Password（パスワード）」というパスワードの人は61,958人、「RockYou」（サービスの名称）をパスワードにしている人が22,588人もいたのです。

また一見普通のパスワードに思える「Qwerty」は、実はキーボードの下から3列目を左から順に入れただけで、このパスワードを使っている人が14,000人もいたことも見逃せません。

では、一体どんなパスワードにすればいいのでしょう？

Impervaの資料でも、特に目新しいことは言っていません。破られ難い強固なセキュリティのパスワードの定義なんて、ここ何年も変わってはいないのです。ただ、ユーザーがそれを守っていないというだけです。改めてポイントを以下に挙げますので、守れていない人は今すぐパスワードを更新してください。

• パスワードは6文字以上で、英数字の大文字・小文字・特殊文字を組み合わせたものにすること。
• 何かの名前、流行っている言葉、辞書に載っている言葉にはしない。自分の名前やメールアドレスに含まれている言葉も使わない。
• パスワードには文字数制限があるので、パスフレーズ（好きな言葉やフレーズの頭文字だけを取って組み合わせたもの）を使ってみる。例えば「I like bread and butter, especially at breakfast time.」だと「Ilbab$eabt!」という具合に。
• パスワードが必要なすべてのサイトで、それぞれ違うパスワードを使うこと。

最後のポイントはとても重要です。

信じられないことですが、パスワードを漏洩させたRockYouでは、すべてのパスワードを暗号化せずにプレーンテキストで保管していたというのです！ どんなに工夫して分かり難いパスワードを使ったところで、パスワードを管理する側にバカな人間が一人いただけで、すべてがパーになるのです。ですから、万が一パスワードが漏洩したとしても、他のサービスやサイトには影響が出ないように、自分の身は自分で守るしかないのです。

どうですか？ パスワードを変更したくなった人もいるのではないでしょうか。備えあれば憂い無し、善は急げです。少しでも気になった人は、今すぐパスワードを変更するのをオススメします。

これまでのライフハッカーのパスワード関連の記事をまとめたものもありますので、こちらも参考にしてみてくださいね。

Consumer Password Worst Practices (PDF!) [via Tech Crunch]

Jason Fitzpatrick（原文／訳：的野裕子）

情報流出 企業データ盗難からウィニーまで (単行本（ソフトカバー）)