去年の12月、FacebookなどのSNSにマルチメディアスライドショーなどを提供している「RockYou」が、パスワードデータベースの情報を漏洩しました。3,200万人分のパスワードとログイン情報が、一人のハッカーの手によって公に晒されてしまったのです。
セキュリティ会社の「Imperva」は、3,200万人のパスワードをくまなく調べ分析しました。その結果、RockYouのユーザーが設定しているパスワードの欠点と、パスワードがあまりにも更新されなさ過ぎるという嘆かわしい事実を、「Consumer Password Worst Practices(PDFファイル)」(一般ユーザーのパスワード設定における最悪の習慣)と題してまとめました。
1990年にUnixが発表したパスワードの安全性に関する研究結果と、今回漏洩した32万人のパスワードの傾向には、非常に多くの共通点がありました。ちょうど10年前にハッキングされたHotmailのパスワードとも、ほとんど変わっていません。結局、どんなにプライベートな情報があるサイトでも、ユーザーはとても分かりやすいパスワードをつけてしまいがちなのです。
RockYouのパスワードがいかにマズイかというと、まず「123456」というパスワードを付けた人が30万人近くもいたのです。「12345」や「1234567」など、順に並んだ数字をパスワードにしている人の数を合計すると、全体の半数の約100万人にも上りました。さらに驚愕すべきは、「Password(パスワード)」というパスワードの人は61,958人、「RockYou」(サービスの名称)をパスワードにしている人が22,588人もいたのです。
また一見普通のパスワードに思える「Qwerty」は、実はキーボードの下から3列目を左から順に入れただけで、このパスワードを使っている人が14,000人もいたことも見逃せません。
では、一体どんなパスワードにすればいいのでしょう?
Impervaの資料でも、特に目新しいことは言っていません。破られ難い強固なセキュリティのパスワードの定義なんて、ここ何年も変わってはいないのです。ただ、ユーザーがそれを守っていないというだけです。改めてポイントを以下に挙げますので、守れていない人は今すぐパスワードを更新してください。
- パスワードは6文字以上で、英数字の大文字・小文字・特殊文字を組み合わせたものにすること。
- 何かの名前、流行っている言葉、辞書に載っている言葉にはしない。自分の名前やメールアドレスに含まれている言葉も使わない。
- パスワードには文字数制限があるので、パスフレーズ(好きな言葉やフレーズの頭文字だけを取って組み合わせたもの)を使ってみる。例えば「I like bread and butter, especially at breakfast time.」だと「Ilbab$eabt!」という具合に。
- パスワードが必要なすべてのサイトで、それぞれ違うパスワードを使うこと。
最後のポイントはとても重要です。
信じられないことですが、パスワードを漏洩させたRockYouでは、すべてのパスワードを暗号化せずにプレーンテキストで保管していたというのです! どんなに工夫して分かり難いパスワードを使ったところで、パスワードを管理する側にバカな人間が一人いただけで、すべてがパーになるのです。ですから、万が一パスワードが漏洩したとしても、他のサービスやサイトには影響が出ないように、自分の身は自分で守るしかないのです。
どうですか? パスワードを変更したくなった人もいるのではないでしょうか。備えあれば憂い無し、善は急げです。少しでも気になった人は、今すぐパスワードを変更するのをオススメします。
これまでのライフハッカーのパスワード関連の記事をまとめたものもありますので、こちらも参考にしてみてくださいね。
Consumer Password Worst Practices (PDF!) [via Tech Crunch]
Jason Fitzpatrick(原文/訳:的野裕子)
