Windowsのログオンや各種サービスの利用にパスワードが欠かせない。「8文字以上の大小文字と数字の組み合わせ」であることが多く、「記号の使用も必須」という場合もある。
覚えにくいパスワードだと面倒だ。だが異なるサービスで同じパスワードを使い回すと、どこかでアカウント情報の漏えいがあったときに一気にハッキング被害に遭う可能性は高い。
苦心しながら、いろいろなパスワードを駆使する人は少なくないだろう。しかし、Windowsで使われる8文字のパスワードはわずか2時間半でクラッキングされることが明らかになってしまった。一体どうすればいいのか?
8文字パスワード限界説の発端は、オープンソースのパスワードクラッキングツール「hashcat」の公式Twitterだ。
とても高速らしいのは確かだ。英Tech系ニュースサイト「The Register」は、詳細を探るために著名なハッカーであるTinker氏にアクセスした。同氏は「たとえどれほど複雑であっても、ブルートフォース攻撃(総当たり攻撃)によって8文字のパスワードは2.5時間以内に解読できることが示された。8文字のパスワードは無意味だ」と言い切った。
hashcatが突破したNTLM認証は、WindowsとActive Directoryで使われる技術だ。Windows 2000以降はKerberos認証に置き換えられたが、いまだにNTLM認証を使うシステムも残っている。Tinker氏は、Windowsパスワードをローカルに保存する場合やActive Directoryドメインコントローラーの「NTDS.dit」ファイルに使われていると指摘する。
パスワードの長さをめぐっては、セキュリティ研究者のスティーブン・マイヤーズ氏が2011年に「ブルートフォース攻撃を使えば、8文字パスワードは44日で解析可能」と警告した。2015年にはソフトウェア開発者のジェフ・アットウッド氏が「マイヤーズ氏の警告があっても、パスワードの平均的な長さは8文字のままだ」という研究結果を発表した。NIST(米国立標準技術研究所)のガイドラインは「パスワードは最低でも8文字以上が望ましい」とする。つまり8文字パスワードは8年も前からキケンと言われながら、まだ使われ続けているのだ。
Tinker氏は、hashcatが100ギガハッシュ/秒のクラッキングパワーを発揮するには、GPUをはじめとしたハードウェアの準備に「約1万ドル(約110万円)ぐらいが必要だ」という。だが「AWSを使えば25ドル(約2700円)でできる」とも話す。「もはや意味をなさない8文字パスワードに固執すべきではない。大文字と小文字、数字に記号という複雑なパスワードを使用することを強いたために、ユーザーが覚えにくくなった」
同氏は覚えやすい英単語5つを適当に組み合わせることでパスワードが強固かつ忘れにくくなると提案する。問題は上限なくパスワードを設定できるシステムがそうそうあるわけではないことだ。「ランダムパスワードを採用する2段階認証の活用も1つの選択肢だ」
WebサービスのパスワードはNTLM認証でないことが多いというが、8文字のままではいつしかWindowsパスワード同様に突破されるだろう。改善が必要な時期に来ているようだ。
上司X: Windowsパスワード、8文字ならいくら複雑でもすぐに破られちゃうって話だよ。
ブラックピット: 大文字小文字に英数字+記号のパスワードにほとんど意味はないという話は何年か前に耳にしたことがありましたけど。
上司X: もはや8文字じゃアウトなんだとさ。ときにキミはパスワードってどうしてる?
ブラックピット: 記憶できる範囲で作成してますけどね。
上司X: 使い回しは?
ブラックピット: してます。全部が同じじゃないですけどね。だって何件もアカウントを持っていて別々のパスワードとか、ぶっちゃけムリでしょう?
上司X: 俺もそうだな。時々パスワードを変更しとかないと、漏れたときに痛い目を見るぞ。
ブラックピット: 自分のメールアドレスとパスワードの組み合わせが漏れてるかチェックできるサイトもありますからね。
上司X: その辺は自己責任ってことでな。ともかく8文字のパスワードはいくら複雑でも意味ナシという結果なんだから、現実を見つめないとな。
年齢:36歳(独身)
所属:某企業SE(入社6年目)
昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。
年齢:46歳
所属:某企業システム部長(かなりのITベテラン)
中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。