実は、素人が陥りがちな「パスワード神話」の1つに、「英字小文字、大文字、数字、特殊文字を混在させ、意味のない文字列として8桁以上にすれば、強固なパスワードが作れる」というものがある。
確かにこれは、「単体」のパスワード――この世に1つだけ――を使う人の場合であれば正しい。しかし実際は、ユーザーがこのように苦労したパスワードが次々に破られている。その理由は、いわゆる「リスト攻撃」にある。
攻撃者はまず脆弱なWebサイトを攻撃し、そこからごっそりとパスワード情報を入手する。例えば、攻撃者がAさんのパスワード「q7&Br28%Ym」を知ったとしよう。次に、攻撃者は強固(たいていはお金に絡む)なWebサイトに、AさんのID(もしくはメールアドレス)と入手したパスワードを使い、Aさんになりすましてログインを試みる。
Aさんは、「せっかく苦労して作った自分のパスワードだから」と、ついついこのパスワードを別のWebサイトでも使いたがる。その結果、苦労して作ったパスワードは「リスト攻撃」にはほとんど意味がないということになってしまう。
実際には、攻撃者はAさんだけを狙い撃ちするわけではない。盗んだパスワードをテーブル化し、それをもとに「辞書攻撃」(頻繁に使われる言葉を使った攻撃)とその応用技(例えばパスワードの後ろに、01、02など数字の連番をあてはめる)を組み合わせて実行し、なりすましをする。だから、絶対にパスワードを他のWebサイトで流用してはいけない。
ただし例外もある。無料登録で使うようなWebサイト(例えばニュース記事の閲覧のみ)では、万一情報が漏えいして攻撃者がなりすましをしても、そのWebサイトの情報をみることくらいしかできない。つまり、実害は少ないわけだ。こうしたWebサイトなら同じパスワードでも構わないだろう。もちろん、きちんと管理することは望まれるので、安易にしてしまわないように注意したい。
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
Copyright © ITmedia, Inc. All Rights Reserved.