「パスワード平文保存って何か問題あるんですの？」 ITお嬢様と学ぶハッシュ化：ITお嬢様の今日も分かりませんわ〜！（4/4 ページ）

[ITお嬢様の召使いたち，ITmedia]

タニイ

もう一度パスワード突破をやってもらいましょうか。お嬢、これは解読できますか？

ハッシュ化したパスワード：911b0a07a8cacfebc5f1f45596d67017136c950499fa5b4ff6faffa031f3cec7f197853d1660712c154e1f59c60f682e34ea9b5cbd2d8d5adb0c834f963f30de

ITお嬢様

無理ですわ！！！！！！！

タニイ

しかも今回はヒントなしです。

ITお嬢様

なおのこと無理ですわ！！！！！！！

タニイ

ですよね。これがハッシュ化した状態です。ハッシュ化も「与えられた文字列をぐちゃぐちゃな文字列に変換する」という意味では暗号化と似てますね。これをあらかじめデータベースに保存しておきます。ログインのときにはユーザーが入力したパスワードをハッシュ化して、データベースと突き合わせて確認します。

ITお嬢様

……？　待ってくださいまし。ぐちゃぐちゃにしてしまったら、元に戻せないのではなくて？

タニイ

戻せません。暗号化は元に戻せるようになっていますが、ハッシュ化は元に戻せないようになっています。

ITお嬢様

戻せない？　そのハッシュ化も何かのルールで変換しているのでしたら、暗号と同じように元に戻せるんじゃないですの？

タニイ

戻せません。例えば、昔話で「桃太郎」ってありますよね。それをパスワードとして使ったとします。かなり長い文字列ですけどね。

タニイ

それを変換したら、偶然こんな文字列になったとしましょう。この文字列から、元の桃太郎の物語を一言一句たがわず復元できると思いますか？

桃から生まれた桃太郎が、犬猿キジを連れて鬼を退治した

ITお嬢様

元のお話を覚えてなければできませんわ。

タニイ

めちゃめちゃ圧縮されているので、ヒントがあろうとなかろうとかなり難しいですよね。ハッシュ化も出力結果から入力文字列を割り出すのは現実的に不可能なんです。だからパスワードがばれない。

ITお嬢様

本当にどんな方法をとっても絶対に復元できないっていえるんですの？　どうしても抜け道がありそうな気がしますわ。

タニイ

絶対に不可能とはいえません。でも、例えば1000万円相当の情報を盗み出したいときに、パスワード突破で1億円かかるとか、10年かかるとかであれば、たとえできたとしてやらないですよね。

ITお嬢様

なるほど。一応力業があるにはあるけど、結果に見合わない手間にできる……というわけですね。

タニイ

だからハッシュ化は強いんです。それが今回のケースでは平文だったかもしれないと。

タニイ

平文保存のヤバさ、分かったかな？

ITお嬢様

よく分かりましたわ。人数が多ければそれだけのパスワードがバラまかれるってことですし、肝が冷えますわ……。

タニイ

まぁ、今回具体例として示したハッシュ値くらいなら、IT知識がなくてもすぐにパスワードを復元できちゃうんですけどね。

ITお嬢様

……え？

タニイ

簡単なパスワードはハッシュ化した結果（ハッシュ値）も割れているので、ハッシュ値を検索すれば元のパスワードがヒットしちゃう。簡単なパスワードは避けた方がいいですね。サービス提供者側で対策する方法もありますけどね。