漏えいパスワードのリストを見て分かった“強いパスワード”の作り方:半径300メートルのIT(1/2 ページ)
「l」を「1」にする、頭を大文字にする――といった“昔ながらの強いパスワード作りの常識”が通用しなくなった今、私たちはどうやって強いパスワードを作ればいいのでしょうか。
ITが欠かせない時代を生きる私たちにとって「パスワード」は、いつまでたっても解決しない面倒な問題。でも、だからといって諦めたらそこで終わりです。そんなわけで今回は、パスワードの現状を知ってもらうことで、この問題を“自分ごと”にしてもらおうと思います。
そのパスワード、「pwned」ですか?
まずは、悪意がある人がIDを手に入れたとき、パスワードをどうやって推測するかを考えてみましょう。私なら「簡単なパスワードのリスト」や、「既に漏えいしたパスワードのリスト」を使って、次から次へと入力を試すでしょう。「複雑なパスワードを付けましょう」「使い回しをやめましょう」というのは、こうした“素人考えでも出てくる攻撃”を防ぐという意味があります。
ここで、ちょっと面白いWebサイトを紹介しましょう。セキュリティ研究者のトロイ・ハント氏が立ち上げた「Have I Been Pwned」です。これまで漏えいしたID/パスワードのリストからあなたのメールアドレスが対象になっていないか、そしてパスワードそのものがリスト内に存在するかを調べてくれるサービスです。
試しに自分のメールアドレスを入れてみたところ、見事に「pwned」と表示されました。このpwnedという言葉はハッカーのスラングで「owend」、つまり、「奪われた、盗まれた」ということを指します。私のメールアドレスは、2012年に漏えいしたDropbox、2013年のAdobe Systemsをはじめ、bit.ly、last.fm、LinkedIn、MySpace、tumblrなどの漏えいリストに含まれていたようです。
このサイトでは、「漏えいしたパスワードそのもの」もチェックできます。自分のパスワードを入力すると、それが過去に漏えいしたパスワードリストに含まれるかどうかを調べられるのです(ただしリスクはゼロではないので、皆さんは今使っているパスワードを絶対に入力しないでください)。
既に漏れたパスワードのリストは、悪意がある人なら、「これを元にログインを試行すればいいのでは?」と思うはず。そこで、ちょっとだけ試してみました。
そのパスワード、誰かが使ってない?
今回試そうと思ったのは、パスワードの文字列がいかに「ありふれているか」をチェックするためです。2014年に本連載で「ある文字列の一部を記号に変える」ことをベースにした強いパスワードの作り方を紹介しましたが、これがいまでも通用するのかどうか試してみようというわけです。
まずは、たまたま目に入った「calendar」という言葉をパスワードにしてみましょう。Have I Been Pwned: Pwned Passwordsのサイトに入力すると……
Oh no ? pwned!
This password has been seen 5,752 times before
と、5752のIDで使われていることが分かります。このような単純な言葉では、もはやパスワードの役割を果たしていないということですね。
では、先頭を大文字にした「Calendar」ではどうでしょうか。
Oh no ? pwned!
This password has been seen 212 times before
212という数をどう見るかは難しいところですが、ここでは「0ではない」と考えてください。つまり、1つでも過去に使われていれば、悪意ある人が辞書に追加できてしまうので、パスワードとしてはアウトです。
もうちょっと工夫してみましょう。「l」を「1」にする定番のパスワード「ca1endar」にしてみたらどうでしょう。
Oh no ? pwned!
This password has been seen 48 times before
これも使われていますね。文字を記号に置き換えた「c@lendar」ならば……
Oh no ? pwned!
This password has been seen 1 time before
使われています。大文字を含んだ「C@lendar」にしても……
Oh no ? pwned!
This password has been seen 1 time before
これも使われており、なかなか0件になりません。これらは既に「漏れたパスワード」であり、悪意がある人に渡ってしまった情報。一筋縄ではいきません。
関連記事
- 「半径300メートルのIT」記事一覧
- まさか「パスワードを定期的に変えていれば安全」なんて思ってませんよね?
パスワードの定期変更って、正直なところメンドクサイですよね。これってホントに意味あるの? - Webサービスの世界では、もはや情報漏えいは避けられない?
そんな世界で身を守る方法とは。 - さらば、パスワード Slackも採用したパスワードレス認証とは
パスフレーズは使えない、2要素認証は面倒、パスワードマネジャーはもっと面倒……。そんなパスワード問題に打開策が登場? - もう、「パスワードを覚える」のは諦めませんか?
使うサービスは増え続け、それに伴ってアカウントがどんどん増えていくのにパスワードは使い回さず、サービスの数だけ用意せよ――。そんな時代のベストな対策は“諦める”こと? - Googleの二段階認証を3400円のUSBキーで試す
Amazon.co.jpでFIDO 1.0仕様のUSBキーを購入しました。ようやく二段階認証が一般的になるのではないかと期待しています。
Copyright © ITmedia, Inc. All Rights Reserved.