8文字パスワードもあっさり陥落、次世代のパスワードはこれだ：502nd Lap

Windowsのログオンや各種サービスの利用にパスワードが欠かせない。「8文字以上の大小文字と数字の組み合わせ」であることが多く、「記号の使用も必須」という場合もある。

» 2019年02月22日 08時00分公開

[キーマンズネット]

　覚えにくいパスワードだと面倒だ。だが異なるサービスで同じパスワードを使い回すと、どこかでアカウント情報の漏えいがあったときに一気にハッキング被害に遭う可能性は高い。

　苦心しながら、いろいろなパスワードを駆使する人は少なくないだろう。しかし、Windowsで使われる8文字のパスワードはわずか2時間半でクラッキングされることが明らかになってしまった。一体どうすればいいのか？

　8文字パスワード限界説の発端は、オープンソースのパスワードクラッキングツール「hashcat」の公式Twitterだ。

　「hashcatがバージョン6.0.0βとなり、NVIDIAのGPU『GeForce RTX 2080Ti』を8基使うことで、WindowsのNTLM認証において100ギガハッシュ/秒のクラッキングスピードを達成した」と発表したのだ。

　とても高速らしいのは確かだ。英Tech系ニュースサイト「The Register」は、詳細を探るために著名なハッカーであるTinker氏にアクセスした。同氏は「たとえどれほど複雑であっても、ブルートフォース攻撃（総当たり攻撃）によって8文字のパスワードは2.5時間以内に解読できることが示された。8文字のパスワードは無意味だ」と言い切った。

　hashcatが突破したNTLM認証は、WindowsとActive Directoryで使われる技術だ。Windows 2000以降はKerberos認証に置き換えられたが、いまだにNTLM認証を使うシステムも残っている。Tinker氏は、Windowsパスワードをローカルに保存する場合やActive Directoryドメインコントローラーの「NTDS.dit」ファイルに使われていると指摘する。

　パスワードの長さをめぐっては、セキュリティ研究者のスティーブン・マイヤーズ氏が2011年に「ブルートフォース攻撃を使えば、8文字パスワードは44日で解析可能」と警告した。2015年にはソフトウェア開発者のジェフ・アットウッド氏が「マイヤーズ氏の警告があっても、パスワードの平均的な長さは8文字のままだ」という研究結果を発表した。NIST（米国立標準技術研究所）のガイドラインは「パスワードは最低でも8文字以上が望ましい」とする。つまり8文字パスワードは8年も前からキケンと言われながら、まだ使われ続けているのだ。

　Tinker氏は、hashcatが100ギガハッシュ/秒のクラッキングパワーを発揮するには、GPUをはじめとしたハードウェアの準備に「約1万ドル（約110万円）ぐらいが必要だ」という。だが「AWSを使えば25ドル（約2700円）でできる」とも話す。「もはや意味をなさない8文字パスワードに固執すべきではない。大文字と小文字、数字に記号という複雑なパスワードを使用することを強いたために、ユーザーが覚えにくくなった」

　同氏は覚えやすい英単語5つを適当に組み合わせることでパスワードが強固かつ忘れにくくなると提案する。問題は上限なくパスワードを設定できるシステムがそうそうあるわけではないことだ。「ランダムパスワードを採用する2段階認証の活用も1つの選択肢だ」

　WebサービスのパスワードはNTLM認証でないことが多いというが、8文字のままではいつしかWindowsパスワード同様に突破されるだろう。改善が必要な時期に来ているようだ。