• GIZMODO
  • DIGIDAY
  • gene
  • cafeglobe
  • MYLOHAS
  • Glitty
  • machi-ya
  • roomie
  • GIZMODO
  • DIGIDAY
  • gene
  • cafeglobe
  • MYLOHAS
  • Glitty
  • machi-ya
  • roomie

ライフハッカー編集部ライフハッカー編集部  - ,,,  11:00 PM

安全そうに見えるパスワードでも実は安全ではない理由

安全そうに見えるパスワードでも実は安全ではない理由

160723hacking.jpg


ユーザーが工夫をこらしてパスワードを作っても、たいていの場合、ハッカーから身を守ることはできません。たいていのサイトで求められる複雑なパスワードの要件も、たいして役に立たないことが明らかになっています。


複雑さの要件を満たしていても、ハッカーはパスワードを類推できる


セキュリティコンサルタントのRick Redman氏の下の動画での説明によれば、ほとんどのウェブサイトがユーザーのパスワードに課しているルールは、時代遅れで頼りないものだそうです。



みなさんがアカウントを作成するウェブサイトでは、だいたい次のような要件が定められているはずです。

  • 8文字以上であること
  • アルファベットの大文字、小文字、数字を使うこと
  • 「%」「&」「*」「!」などの特殊文字を使うこと

この要件を満たせば、パスワードの安全性が高くなるような気がします。たしかに「123456」のようなパスワードよりは安全なのですが、最先端を行くパスワードクラッカーたちにとっては、簡単に突破できる些細なハードルにすぎません。Redman氏が指摘しているように、サイトでNTLM暗号化が使用されている場合(Windowsではこれが使われています)、2000ドル程度で購入できる安価なマシンがあれば、8文字のパスワードで考えられるすべての組み合わせを、どれだけ大文字や特殊文字を使ったとしても、わずか3.7日でクラッキングできるのです。パスワードの保存にMD5暗号化を使用しているサイトでも、8日ほどあれば、8文字のパスワードで考えられるすべての組み合わせを試すことができるでしょう。LinkedInが大規模な情報漏れを起こした際に使っていたのはSHA1暗号化ですが、これも24日もあれば、すべての組み合わせをクラッキングできるはずです。パスワードクラッカーがもっと良いマシンを使える場合は、その所要時間は大幅に短くなるでしょう。

言いかえれば、LinkedInがパスワードに関してどんなルールを決めていたにせよ、件の大規模な情報漏れの際にあなたが8文字のパスワードを使っていたのなら、そのパスワードはとっくに、どこかにいるクラッカーに割り出されているということです。しかも、ここで挙げた所要時間は、割り出しに苦労するパスワードが使われていた場合のものです。

現実には、ほとんどの人が、意識的にせよ無意識にせよ、ある特定のパターンに従ってパスワードをつくります。Redman氏は、その例として以下のようなパスワードを挙げています。

Austin1!、Sports9?、Hiphop4$、Camels2%

どの例も、一般の人のパスワードとしては、いかにもありそうなものです。興味の対象や覚えやすい単語が入っていて、大文字ではじまり、サイトのパスワード要件を満たすために、数字と特殊文字が付け足されています。

ところが、この4つの例はどれも、ある特定のパターンに従っています。すなわち、大文字が1つ、小文字が5つ、数字が1つ、特殊文字が1つというパターンです。クラッカーがそうしたパターンを利用すれば、暗号化されたパスワードの解読に要する時間は大幅に短くなります。2000ドルのマシンで8日をかけなくても、パスワードクラッキングアプリを使えば、はるかに短い時間でパスワードを割り出すことができるのです。

パスワードの規定文字数を多くしても必ずしも安全になるわけではない理由も、そこにあります。8文字ではなく12文字のパスワードを作成しなければならない場合、エンドユーザーはおそらく、「Mississippi9」のようなパスワードを使うでしょう。このパスワードはベースとなる単語を長くしただけにすぎず、予測可能なパターンに従っている点は変わりません。

だからといって、複雑なパスワードには意味がないとか、パスワードを抜かれるのはユーザーの自業自得だと言っているわけではありません。みなさんが利用するほとんどのサイトでは、パスワードをどの程度まで複雑にする必要があるのか、その点が充分に説明されていません。問題は私たちの性質にあるのです。私たちが確実に覚えられるようなパスワードは、おそらくプロのパスワードクラッカーなら類推できるでしょう。唯一の安全なパスワードは、あなたが覚えられないパスワードなのです。


身を守るためにできること


Redman氏のトークは、セキュリティのプロやウェブ管理者を対象としたもので、「パスワードは割り出されるに決まっている、自分ではどうしようもない」と受け止められかねないような内容も含まれています(だって、実際そのとおりですからね)。」とコメントしていました。とはいえ、幸いなことに、身を守るためにとれる対策はいくつかあります。



  • 複数のサイトで同じパスワードを使いまわさない:この点は、いくら強調しても足りません。完璧にランダムな100文字からなるパスワードだとしても、複数のサイトで使いまわしているのなら、なんの意味もありません。LinkedInでどんなパスワードを使っていたとしても、そのパスワードはすでに流出しています。プロのハッカーがどこか1つのサイトであなたのパスワードを突き止めたら、ほかのすべてのサイトのパスワードも手に入れたことになるのです。絶対に、絶対に、絶対に、ひとつひとつのサイトでそれぞれ異なるパスワードを使ってください。
  • 自分では覚えられないパスワードを使う(パスワード管理ツールを使う):あなたが手に入れられる最善のパスワードは、複雑すぎて自分では覚えられないパスワードです。その点では、パスワード管理ツールがうってつけです。パスワード管理ツールを入手し、それを使ってランダムで覚えられないパスワードを作成し、アプリ内で保存するようにしましょう。もちろん、そうすると、1つのアプリにすべてのパスワードを委ねることになるわけですが、あなたが実際に使うパスワードは、はるかに安全なものになります。パスワード管理ツールを比較したこちらの記事をチェックし、あなたにぴったりのものを探してみてください。最低でも、『Google Chrome』の「Smart Lock」を使うようにしましょう。
  • パスワードを覚えなければいけない場合は、パス「フレーズ」にする:記憶できるパスワードをどうしても使わなければならない場合も、時にはあります。その場合には、可能であればパス「ワード」ではなくパス「フレーズ」を使うようにしましょう。妙なルールに従って短いパスワードを作るのではなく、長いフレーズや、時にはセンテンス丸ごとを使用するのです。これは自分にとっては覚えやすいうえに、たいていのパスワードクラッカーをくじけさせるだけの長さがあります。少なくとも、あなたのパスワードをあきらめさせ、ほかの誰かに向かわせるだけの効果はあるでしょう。
  • 必ず2段階認証を有効にする:2段階認証では、ログインする際に、パスワードに加えて、テキストメッセージや携帯電話で生成したコードなどの第2の要素が必要になります。この認証プロセスをすべてのアカウントで有効にしましょう。理想をいえば、ほとんどのサイトで2段階認証が必須になれば良いのですが、現時点ではオプションにとどまっています。少し面倒にはなりますが、こうしておけば、パスワードが破られたとしてもアカウントを守ることができます。

また、セキュリティ基準に不備がある場合には、そのサイトに不満を伝えてみるのも良いでしょう。サイトが2段階認証に対応していなかったり、パスワードの長さに制限を設けていたり、パスワードを忘れた際にプレーンテキストのメールでパスワードを送ってきたりする場合は、そのサイトのサポート部門にメールを送り、それは容認できないと伝えましょう。企業は必ずしも、ユーザーのセキュリティ確保に全力を尽くすわけではありません。ユーザーの要望やコストに背中を押されなければ、対策に乗り出さない企業もあります。セキュリティに不安のあるサイトを利用している場合は、その旨をサイトに伝えましょう。うまくいけば、きちんとした対策をとってくれるでしょう。


Eric Ravenscraft(原文/訳:梅田智世/ガリレオ)
Photo by Shutterstock

MORE FROM LIFEHACKER

powered by
    
    
    
  

Kotaku

Recommended

© mediagene Inc.