情報セキュリティの脅威はすぐそこに

人はどうしても簡単なパスワードを設定してしまう

「2016年で最もよく使われていたパスワードトップ25」が公表されています。
http://gigazine.net/news/20170117-most-common-password-2016/

毎年恒例のランキングで、比較的お馴染みの文字列がある中で、一見すると複雑そうに見えるものもランクインしており興味深いところです。個人的にはいつの間にか「trustno1」が圏外になっており隔世の感があって寂しいものです(よくわからない人は『Xファイル』のシーズン2第1話を見てみよう)。

恐ろしい点はこの統計の母数は1000万件のパスワードとのことですが、トップ25で全体の半分以上を占めているということです。

 

日本国内で統計を取るとまた違う結果が出るようにも思いますが、誰であっても「覚えやすくて入力しやすいパスワード」を設定してしまうのも仕方ないことなのかもしれません。

多くの人がこのような「わかりやすいパスワード」を設定してしまう背景には、パスワードの解析がどれほど簡単かということがあまり知られていないのではないかと思います。よく個人情報流出事件で「暗号化されたパスワードも流出している」と報じられることがありますが、そのサービスのパスワードの実装と暗号化の方式、そして元々のパスワードの複雑さ次第で、総当り攻撃で正解を突き止めることは実に簡単です。

 

とある方法で検証してみたところ、総数の内半分程度は総当たりで突き止めることができてしまいました。この方法で突き止められたパスワードには一定の傾向がありました。

  • 使用している文字種が少ない
    アルファベットの小文字と数字だけ。申し訳程度に大文字があっても頭文字だけというパターンも。
  • フレーズが単純
    辞書に載っていそうな単語であったり、ひどいパターンの場合はユーザ名に含まれる文字列がそのまま使われていました。または数字が生年月日のパターンなども。
  • 文字数は6~10文字程度
    一般的に8文字は設定しろと言われますが、文字種が少ない場合にはちょっと文字数を増やしたくらいでは総当たり攻撃の耐性はあまり上がらないようです。

こういった条件にあるパスワードはたとえ暗号化されていても、解析するための難易度はそう高くありませんでした。Webサービスなどで適切で複雑な暗号化をして保存されていれば、仮に流出してしまったとしても解析されるリスクは低くなりますが、どのように管理・保存されているかはわからないものです。

また昨今はリスト型の攻撃が流行している背景もあり、どこか1箇所から「IDやメールアドレスとパスワードの組」が流出すると直ちに全てが危険にさらされると言っても過言ではありません。

一度、とあるWebサービスでパスワードリマインダを使ったところ、平文のメールでパスワードが送られてきたことがあり、これはダメだと思った経験があります。そういう観点からも「せめてパスワードをサイト・サービスごとに別のものを設定して使い回しをしない」「適切な長さと複雑さを持ったものを設定する」という自衛策は必要ではないかと思います。

「そうは言っても、パスワードをいちいち変えて覚えておくのも、入力するのも面倒じゃん」というのもまた一理ある意見です。もはやそのためには覚えることと入力することを放棄するしかないのではないかなとも思います。

「外部のサービスに毎回簡単なパスワードを入力する」くらいなら「複雑なパスワードにして、パスワードマネージャを使ったり、ブラウザに記憶させる」方が何百倍も安全です。「もしパスワードマネージャがハックされたら?」という指摘もまた正しいですが、得てしてそれが可能な段階でOSのユーザアカウントにアクセスできていることと同義(物理ハック・ソーシャルハックを含む)であるため、セキュリティという観点からは何か別の問題が起きていると言えます。

パスワードマネージャやブラウザ保存は否定派も多いですが、外部のサービスと手元のパソコンと、どちらがセキュリティを確保しやすいかと言えば圧倒的に手元のパソコンという見方もあります。

 

世の中の全てのパスワードを必要とするサービスが意識の高い実装をされているわけではないため、やはり最低限の自衛としての「使い回しをしない」「複雑なものにする」という対策は必要でしょう。もちろんパスワードマネージャを使う場合でもそのパソコンそのもののセキュリティについて常に維持する意識を持たなければならないことは言うまでもありません。

具体的には「OSのログインパスワードをきちんと設定する」「パスワードマネージャのマスタパスワードを設定する」「OSやブラウザの更新をきちんと行う」などでしょうか。あるいは「目を離した隙に自分以外は触れられないようにする」ことが第一歩であることは言うまでもありません。

 

パスワード入力を行う側の意識の高さはわからないことが多いのですが、せめて自分の側の意識は高く持ちたいものです。ちなみに複雑かつ覚えやすくて手入力できるパスワードにこだわりたい場合は「かな入力換字式暗号」をオススメします。具体例ではこのような感じです。

  F[e2[s@=\.w@Eyh@r

アットマークが多いのですが、「かな入力換字式暗号」であればこれくらいの複雑さのパスワードは簡単に覚えられます。日本語キーボードの方はじっくり見つめると覚え方が簡単にわかりますので、ぜひお試しを。