敵をあざむくなら、まず自分から――「パスワードのヒント」に本当のヒントを入れるな!:半径300メートルのIT
先日、米Adobeのサイトから少なくとも3800万人分のパスワードが流出しました。暗号化されていたとはいえ、同時に流出した「パスワードのヒント」を手がかりに次々と解読されているようです。
著者紹介:宮田健(みやた・たけし)
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。アイティメディアのONETOPIでは「ディズニー」や「博物館/美術館」などのキュレーターをこなしつつ、自分の生活を変える新しいデジタルガジェットを求め日々試行錯誤中。
今回もパスワードの話をしたいと思います。「また?」と思うでしょう。しかし、現状が変わるまでこの話はしつこく続けていかなくてはなりません。
順位 | パスワード内容 | 利用者数 |
---|---|---|
1. | 123456 | 約190万人 |
2. | 123456789 | 約44万6000人 |
3. | password | 約34万6000人 |
4. | adobe123 | 約21万人 |
5. | 12345678 | 約20万人 |
6. | qwerty | 約13万人 |
7. | 1234567 | 約12万4000人 |
8. | 111111 | 約11万4000人 |
9. | photoshop | 約8万3000人 |
10. | 123123 | 約8万3000人 |
2013年10月、米Adobe Systemsが不正アクセスを受け、少なくとも3800万人分のユーザーIDと、暗号化されたパスワードが流出した事件がありました。この暗号化されたパスワード、現在ではすでに一部が推測可能状態になっており、使われていたパスワードのトップテンも発表されています。
使われていたパスワードのトップテンをみて、読者のみなさんはどう思いますか。「自分も使っているなあ」なんてものがありませんでしたか?
「123456」を暗号化しても、ヒントが「654321」じゃあ……
通常パスワードは、システムに保存するときにそのままではなく暗号化を施すことが通例です。アドビは今回暗号化していたと発表していますが、上記記事では「ユーザーが平文で保存していた『パスワード推測のヒント』があったおかげ」で一部が解読できたとされています。
ここでいう「パスワード推測のヒント」とは、Windowsのログイン画面にもあるような、利用者がパスワードを思い出せるようにするための短文を登録する仕組みです。実は今回、これが大きなヒントとなり、暗号を解くカギにもなってしまいました。
この件について興味深い考察を見つけました。筆者の知人でもある根岸氏の記事「Adobeでよく使われるパスワード Top 10(参照リンク)」によると、今回流出したパスワードの中には、メールアドレスに「yahoo.co.jp」を使って登録したものが約100万件含まれていました。その利用者に限った流出パスワードトップテンを公開されています。
特筆すべきはその「パスワードのヒント」。例えば堂々トップに輝いたパスワード「123456」に対するヒントが「654321」であったり、第2位「123456789」に対するヒントがやっぱり「987654321」だったりと、何ともいえない気分になる結果になっています。
Webサイト設計者さんへ――もうパスワードのヒントはやめませんか?
この結果から導かれるのは「パスワードの使い回しをやめよう」「単純なパスワード文字列はやめよう」といった、いつもの結論です。特に、今回トップテンに入っているようなパスワードは絶対に使ってはいけません。
そしてもう1つ、重大な結論があります。「パスワードのヒント」は意味がないうえに、暗号化解読のヒントにもなってしまいます。利用者のためによかれと思って作った機能だとは思いますが、いまではほとんど意味がなさそうです(パスワードを忘れた人がとりそうな行動を想像してみてください。ヒントから思い出そうとするよりも、すぐにパスワードの再発行メールを受け取ろうとすることでしょう)。
パスワードのヒントは、「秘密の質問」と同じくらいナンセンスなものだと筆者は考えています。もし読者の中にWebサイト設計者がいましたら、ぜひ「実装しない」ことを考えてみていただけませんか?
そして、ユーザーのみなさん。今後、会員登録時にパスワードのヒントを入力しなくてはならないサービスに出会ったら、そのときはまったく無意味な文字を入れておくことをお勧めします。
関連キーワード
パスワード | 暗号化 | Adobe Systems(アドビシステムズ) | ログイン | メールアドレス | パスワード盗難 | 半径300メートルのIT | 考え方 | 不正アクセス
関連記事
- 「jTDDD[yjrPs7zKNc38RU」みたいな複雑なパスワード、覚えられっこない!?
パスワード管理がもっと便利になったらいいのになあ、と思う人は多いはず。でも面倒くさいからといって「1つのパスワード」を使い回していたら危険です。それを解決するには…… - 新型iPhoneはパスワードまる見え! を回避するただ1つの方法
iOS 7になって、Safariに登録したパスワードが丸見えになったと話題になっています。実はこの問題、エンジニアの考え方と一般ユーザーの受け止め方とにちょっとしたボタンのかけ違えがあるのですが……。 - その漏えいしたID、自分の「お金」に直結していませんか?
OCNから約400万件のメールアドレスと暗号化されたパスワードが漏えいしました。即座に被害が発生するとは限りませんが、口座情報などの重要情報をWebサービスに預ける場合の対策と覚悟を考えてみましょう。 - “無保険で84歳”のWindows XP、そろそろ引退させてあげませんか?
2014年4月9日、Windows XPのメーカーサポートが終了します。即日、起動できなくなるわけではありませんが、ネットにつないで使うのは危険過ぎるかもしれません。 - ディズニーの偽Twitterをフォローした14万人は何を考えている?
「東京ディズニーリゾート【公式】」を名乗る偽Twitterアカウントが登場しました。ポイントをためてチケットを手に入れようと呼びかけに14万人ものフォロワーが殺到しましたが……。
Copyright © ITmedia, Inc. All Rights Reserved.