次のような話を耳にしたことはないだろうか。堅牢で覚えやすい,完璧無欠のパスワードを作り上げたとしよう。ついには,指先を駆使して高速入力する術もマスターした。それにもかかわらず,サービスの案内画面でパスワード・ポリシーに従うよう指示された。そこで新しいパスワードを考え出し,さらに2倍にして32を加え,母親の旧姓から文字を拝借した。ところが,さらに記号を最低でも2文字含めるよう要求された。このパスワード・ポリシーだと,せっかく編み出したパスワード作成方法が台無しになってしまう。
パスワードの作成は,セキュリティと使いやすさの絶え間ないせめぎ合いだ。両者の隙間を埋めるパスワードは手に入りにくい。一方,定期的にパスワードを変更すれば強度が高まり,さまざまな攻撃の成功率がかなり低くなる。しかし,非常に複雑なパスワードを作ってしまうと忘れてしまうリスクもあり,ここがセキュリティの悩ましいところだ。
つまり,究極の質問は「強靱かつ分かりやすいパスワードをどうやって考え出せばよいか」となる。これは筆者が「新しいパスワード」「新パスワードの確認」という二つのテキスト入力ボックスを眺めながら,幾度となく考えていたものだ。そこで今回,当ブログ関係のさまざまな人にこの質問を投げかけてみた。以下に挙げた方法は,セキュリティ業界の関係者がパスワード作成に用いているもので,セキュリティと使いやすさのバランスが取れている。
前提として,強力なパスワードは,インターネットのセキュリティにおける切り札でないことを示しておきたい。現在,エクスプロイトやソーシャル・エンジニアリングの手口がまん延する中,パスワードの有用性についてはさまざまな議論がなされている。また,パスワードがキーロガーや偽Webサイトで盗み出されたら,どのように複雑なパスワードでも無駄だ。ただし,パスワードがすぐになくなることはないだろうし,強いものであれば情報保護に役立つだろう。
文字の入れ替え
書籍「Password 101」によると,数字,あるいは形や発音が似ている記号と,文字を置き換える。例えば,「3」を「E」,「+」を「t」,「8」を「ate(エイト)」といった具合だ。わざと大文字と小文字も入れ替えることもする。この方法を最初に述べたのはオリジナルだからではなく,注意を促すためだ。昨今の辞書攻撃の大半が,このような置き換えを念頭に置いており,一般的な言葉に対してこれらのバリエーションを実行する場合が多々ある。つまり,「password」のような言葉を「P@55w0rD」と表記しても,安全性が飛躍的に高くなるわけではない。やはり優れた手法はいえ,ほかのものと組み合わせるべきだ。
ソルトの付加
暗号技術のコンセプトを拝借したものだが,複数の疑似ランダムな文字を加える――すなわちパスワードに「ソルト」を追加する。最初に車を手に入れた年,自分が飼っている3本足の猫の爪の数など,何でもよい(誕生日など容易に判別できる個人情報は,絶対に避けること)。例えば,「cr4ck3rs」に対して,木星での私の体重(単位はkg)をソルトとして追加すると「cr41ck36rs5」となる。この手法は,辞書攻撃を非常に困難にし,ブルート・フォース攻撃の成功率を大幅に下げる。
映画/歌のフレーズ
映画や音楽の世界はフレーズが豊富で,パスワードとして拝借するのにもってこいだ。有名なものを挙げると「D0Uf33l|uckyPunk?」(映画「ダーティ・ハリー」の名ゼリフ)や「WH0|3L0++aLuv」(ロックバンド「レッド・ツェッペリン」の「Whole Lotta Love」)がある。もっとよいのは,知名度の低い(「Ch|03d0n’tKn0wB3++3r」)を使ったり,脚本のスレッド(「0MG,Sh3W45aH3?!」)をいじったりしてみることだ。もちろん,このようなパスワード用フレーズの引用元は無限にある。本の一節を抜き出す,コメディアンの台詞を引用する,あるいは新聞の安っぽい広告コピーを使用してみよう。
