連載
» 2018年04月24日 07時00分 公開

半径300メートルのIT:漏えいパスワードのリストを見て分かった“強いパスワード”の作り方 (1/2)

「l」を「1」にする、頭を大文字にする――といった“昔ながらの強いパスワード作りの常識”が通用しなくなった今、私たちはどうやって強いパスワードを作ればいいのでしょうか。

[宮田健,ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Photo

 ITが欠かせない時代を生きる私たちにとって「パスワード」は、いつまでたっても解決しない面倒な問題。でも、だからといって諦めたらそこで終わりです。そんなわけで今回は、パスワードの現状を知ってもらうことで、この問題を“自分ごと”にしてもらおうと思います。

そのパスワード、「pwned」ですか?

 まずは、悪意がある人がIDを手に入れたとき、パスワードをどうやって推測するかを考えてみましょう。私なら「簡単なパスワードのリスト」や、「既に漏えいしたパスワードのリスト」を使って、次から次へと入力を試すでしょう。「複雑なパスワードを付けましょう」「使い回しをやめましょう」というのは、こうした“素人考えでも出てくる攻撃”を防ぐという意味があります。

 ここで、ちょっと面白いWebサイトを紹介しましょう。セキュリティ研究者のトロイ・ハント氏が立ち上げた「Have I Been Pwned」です。これまで漏えいしたID/パスワードのリストからあなたのメールアドレスが対象になっていないか、そしてパスワードそのものがリスト内に存在するかを調べてくれるサービスです。

 試しに自分のメールアドレスを入れてみたところ、見事に「pwned」と表示されました。このpwnedという言葉はハッカーのスラングで「owend」、つまり、「奪われた、盗まれた」ということを指します。私のメールアドレスは、2012年に漏えいしたDropbox、2013年のAdobe Systemsをはじめ、bit.ly、last.fm、LinkedIn、MySpace、tumblrなどの漏えいリストに含まれていたようです。

 このサイトでは、「漏えいしたパスワードそのもの」もチェックできます。自分のパスワードを入力すると、それが過去に漏えいしたパスワードリストに含まれるかどうかを調べられるのです(ただしリスクはゼロではないので、皆さんは今使っているパスワードを絶対に入力しないでください)

 既に漏れたパスワードのリストは、悪意がある人なら、「これを元にログインを試行すればいいのでは?」と思うはず。そこで、ちょっとだけ試してみました。

そのパスワード、誰かが使ってない?

 今回試そうと思ったのは、パスワードの文字列がいかに「ありふれているか」をチェックするためです。2014年に本連載で「ある文字列の一部を記号に変える」ことをベースにした強いパスワードの作り方を紹介しましたが、これがいまでも通用するのかどうか試してみようというわけです。

 まずは、たまたま目に入った「calendar」という言葉をパスワードにしてみましょう。Have I Been Pwned: Pwned Passwordsのサイトに入力すると……

Oh no ? pwned!

This password has been seen 5,752 times before

 と、5752のIDで使われていることが分かります。このような単純な言葉では、もはやパスワードの役割を果たしていないということですね。

 では、先頭を大文字にした「Calendar」ではどうでしょうか。

Oh no ? pwned!

This password has been seen 212 times before

 212という数をどう見るかは難しいところですが、ここでは「0ではない」と考えてください。つまり、1つでも過去に使われていれば、悪意ある人が辞書に追加できてしまうので、パスワードとしてはアウトです。

 もうちょっと工夫してみましょう。「l」を「1」にする定番のパスワード「ca1endar」にしてみたらどうでしょう。

Oh no ? pwned!

This password has been seen 48 times before

 これも使われていますね。文字を記号に置き換えた「c@lendar」ならば……

Oh no ? pwned!

This password has been seen 1 time before

 使われています。大文字を含んだ「C@lendar」にしても……

Oh no ? pwned!

This password has been seen 1 time before

 これも使われており、なかなか0件になりません。これらは既に「漏れたパスワード」であり、悪意がある人に渡ってしまった情報。一筋縄ではいきません。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -