パスワードを考えるときのタイミングと苛立ち
小文字に大文字、数字や特殊文字などを含める・・・。というのは、パスワードを作るときのお約束です。パソコンや携帯端末を使う以上、この規則はあらゆる場面でパスワード設定の基本となっていました。そして大変興味深いニュースを目にしました。「15年前にこのスタンダードを考案した男性が今になってこのルールは失敗だったと認めています。」
誰かが作りあっという間にスタンダードへ
そもそも誰かが使いだしたのはなんとなく理解できますが、特定のだれが考案したなんて思ってもみなかったので凄くこのニュースは、興味を引きました。
その人物の名前は、ビル・バーさんという人物です。アメリカ国立標準技術研究所(NIST)の元マネージャーだったそうです。2003年にバー氏は、「NISTスペシャルパブリケーション800-63 別表A」と呼ばれる、安全なパスワードを作る方法についての8ページに及ぶガイドラインを起草しました。これが、メールアカウントからオンラインバンキングのログイン画面に至るまでのパスワード要件を「大文字と特殊文字、そして数字を使えといったルール」は、ビル・バーさんが確立したものだそうです。
分からないままスタートさせたシステム
しかし唯一の問題点は、そのガイドラインが執筆された2003年当時、パスワードがどのように働くのかビルさんはあまりわかっていなかったそうです。彼はセキュリティのエキスパートではなかったのです。つい最近、ビルさんはウォール・ストリート・ジャーナルで「自分がしたことの多くを後悔してる」と語り、彼のパスワードに関する調査の多くは、ウェブが発明されるだいぶ前の1980年代に書かれた白書から得たものだと認めました。「結局のところは、多くの人にとって指針の一覧はちゃんと理解してもらうには複雑すぎて、実のところは見当違いだった」と述べています。
しかし、ある単純な計算によれば、パスワードは覚えやすい単語を並べた長いものよりも、おかしな文字の羅列で短いもののほうが破られやすいという説があります。NASAの元ロボット研究者によると、コンピューターがパスワードを推測するのにかかる時間は、意味をなさないランダムな文字列だとおよそ3日なのに対し、4つの単純な単語を並べたものだと550年もかかると言っています。
パスワードの新しい考え方
こういったわけで最新のNISTガイドラインでは、ビルさんが安全だと思ってた覚えにくい文字の羅列よりも、長めのパスワードを作ることを推奨しています。何もかもにパスワードが求められる時代になって、ビルさんの考えたパスワード規則は失敗作だったとわかったわけです。パスワードと情報セキュリティに関するリサーチを探す場合、現在なら何百万という例が出てきますが、15年前は微々たるものだったのです。
最悪のパスワードリスト
様々なセキュリティアプリケーションとサービスのプロバイダである米SplashDataが、さまざまなハッカーフォーラムやウェブサイトに最も頻繁に投稿されている弱くて推測されやすいパスワード25件を挙げています。因みに現在一般的に米国で使用されている上位25の悪いパスワードのリストを提示してみました。
- 123456
- パスワード
- 12345
- 12345678
- フットボール
- QWERTY
- 1234567890
- 1234567
- 王女
- 1234
- ログイン
- ようこそ
- ソロ
- abc123
- 管理者
- 121212
- 花
- passw0rd
- ドラゴン
- 日光
- マスター
- 趣味
- 私を愛して
- zaq1zaq1
- パスワード1
このリストは漏洩した500万件のパスワードに基づいており、ハッキングされたユーザーの約4%が「123456」をパスワードとして使用していたそうです。実際ほとんどの場合、上記の様なワンワードパスワードがハッカーの餌食になるそうです。この方法を使用すると、ハッカーはユーザーのようになり、「辞書」と呼ばれるリストから所定の単語またはフレーズを使用してアカウントにログインしようとします。
まとめ
僕は、パスワードを管理アプリと紙のメモに残していますが、せっかく大事に保管していても簡単に解読されては、意味がありません。結局のところこまめなパスワード変更が、大事という事ですね。これからも新しいサイトで買い物をする度にパスワード必要になると思うと億劫になります。