10億件の漏えいパスワードを調査したら危険すぎる傾向が分かった件:570th Lap
過去10年間に漏えいしたパスワードを調査したところ、多くの人が“あの危険なパスワード”を使っていたことが分かった。そのパスワードとは……。
デバイスやWebサービスにログインする際に必要な「パスワード」。万が一パスワードが漏えいすれば企業の機密情報の流出にもつながる。その対応策として生体認証などの認証方法を用いるケースもある。しかし全てのWebサービスなどでパスワード以外の認証方法を実装することは難しく、現状ではなるべく推測しにくいパスワードを設定するよう求められている。そんな中、過去に漏えいした10億件のパスワードを調査した結果、多くの人があの危険なパスワードを使っていたという。その詳細とは――?
パスワードの使い回しの危険性として、一つのアカウント情報が漏えいした場合そこから芋づる式にその他のアカウントが乗っ取られる事態が考えられる。第三者に推測されにくいパスワードにしサービスごとに異なるパスワードを設定することが重要だ。
キプロス大学の学生、アタ・ハクシル氏が過去10年間に漏えいしたユーザー名やパスワード10億件を分析したところ、驚くべき傾向が明らかになった。10億件のサンプル中、現在利用されているパスワードは1億6891万9919種類で、他と重複しない固有のパスワードはわずか8.83%にすぎない。
これは、かなりの割合で使い回し、もしくは他のユーザーと合致してしまうパスワードが使われていたということだ。
ハクシル氏の分析によると、パスワードの平均文字数は9.4822文字で、28.79%が文字のみ、26.26%が小文字のみ、13.37%が数字のみのパスワードだったという。言うまでもなく、文字のみもしくは数字のみのパスワードは推測されやすく危険度が高い。
そして何より危険なのは、調査の中で約700万件発見された同一のパスワードだ。なんとそのパスワードは「123456」だった。ここ数年、複数のセキュリティ企業によって「最悪のパスワード」として公表されているパスワード「123456」が、実際に漏えいしたパスワードでも多数を占める結果となった。
冒頭でも触れたように、1つのパスワードが漏れれば他の複数のアカウントもハックされる可能性は否めない。しかし、そもそも「123456」のようなパスワードは推測しやすく、リスト型攻撃の被害に遭う以前にいくらでも乗っ取られ放題ということだ。
やはり他人と被りにくく、それなりの長さのあるパスワードを利用することは重要のようだ。ちなみに、NIST(米国立標準技術研究所)では8文字以上、FBI(連邦捜査局)では15文字以上の大文字小文字を含むパスワードが推奨されている。それを心掛けたいものだが、中には「大文字も小文字も意味はない」という研究者もいる。
パスワードに「123456」を選択するのは危険としか言えないが、忘れにくいパスワードを考えるのも骨が折れるというものだ。現時点での策としては、確実に安全というわけではないが、アプリやWebブラウザの拡張機能でランダムかつある程度の長さのパスワードを作成し記憶させておくことや、スマホとPCを使った2段階認証に頼る他ないだろう。
上司X: 10億件の漏えいパスワードを調査したら、残念な結果になったという話だよ。
ブラックピット: 「123456」か。さすがの僕でも使ったことはないですねえ。
上司X: 「最悪のパスワード」ランキングによれば、「qwertyuop」とか「123456789」、ド定番の「password」なんてのもあるみたいだよ。あと「iloveyou」とかな。キミも身に覚えがあったら気を付けてくれよ。
ブラックピット: も、もちろんですよ。でもユニークなパスワードにしてもすぐ忘れちゃって再設定とかありますよねえ……。何度頭を抱えたことか。しかしそれにしても毎日、毎週、毎月どれほどのパスワードを入力して暮らしているんでしょうねえ、僕らは。
上司X: その質問には「お前は今まで食ったパンの枚数を覚えているのか?」と答えさせていただきたいな。
ブラックピット: いや、そんな漫画の名ゼリフで回答されても……。ともかく僕はパスワードを見直す、というかアプリとかで管理することにします。いろんなパスワードを覚えておくのも無理筋ですし。やっぱりシステム的に管理したほうがラクかも……と。
上司X: 最近までその辺にパスワードをメモした付箋(ふせん)を貼り付けてたキミとは思えないほど殊勝な発言じゃないか。まあ、顔認証やらなにやらで俺たちの生活の中からパスワードが無くなりそうな未来は見えてきている気もするが、まだちょっと先のようだよ。それまで、賢く上手に乗り切って行くしかないようだな。
ブラックピット(本名非公開)
年齢:36歳(独身)
所属:某企業SE(入社6年目)
昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。
上司X(本名なぜか非公開)
年齢:46歳
所属:某企業システム部長(かなりのITベテラン)
中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。
Copyright © ITmedia, Inc. All Rights Reserved.