McAfee Avert Labs Blog
Make Your Password Secure」より
November 25,2009 Posted by Adam Wosotowsky

 いかにセキュリティが高度化しようとも,基本は変わらない。安全なパスワードを作り,それを使うことは最も基本的なことの一つだ。パスワードは,パソコンにログオンしたり社内アプリケーションを利用したりする場合だけでなく,あらゆるWebサイトで要求される。現在のネットワークで結びついた世界では,どこに行ってもパスワードが必要だ。

 しかし,一体どれほどの人が自分のパスワードの安全性を真剣に考えているだろうか。とても頻繁に利用するものなので,1個のパスワードを繰り返し使い回したくなる。ただし,こんな使い方をしたらお母さんに「ひどい考え」と言われてしまうだろう。今回はパスワードでよく使われる手法をいくつか取り上げ,長所と短所を説明する。そして,ユーザーに使いやすくハッカーに破られにくいパスワードを作る,簡単かつ記憶しやすい方法を紹介しよう。

使用頻度と複雑さ

 パスワードを決める際,使用頻度と複雑さを天秤にかけることが多い。頻繁に使うパスワードは覚えやすく,複雑なパスワードは覚えにくい。パスワードが複雑になると,全部のオンライン・アカウントで同じパスワードを使う人が増える。その結果,オンライン・バンキングやオークション,ソーシャル・ネットワーキング・サービス(SNS)が,同じユーザー名とパスワードでアクセスできる。このような状況だと,ハッカーがどれか一つのWebサイトを攻撃してユーザー名とパスワードを手に入れれば,全サイトのアカウントを入手したことになる。ユーザーは,パスワードが自分の持ち物でなく,アクセスしたWebサイトのものであると肝に銘じておこう。つまり,ほかのサイトで使っているのと同じアカウント用パスワードを入力する行為は,セキュリティ確保の観点からとてもほめられない。

 辞書攻撃で破られてしまうパスワードの使用も避けよう。パスワードが大きな辞書に載っているような単語だと,パソコンのプログラムで単語を全部試されたら「当たって」しまう。「123456」というパスワードは最もよく使われるものなので,辞書攻撃の回避策として不適切だ(関連記事:最も狙われるパスワードは「password」、「p@$$w0rd」でも危ない)。下品な言葉でパスワードを作れば普段の会話で触れないかもしれないが,ID不正取得のために法を破る者はそのような社会的制約など意に介さない。

よく使われるパスワード

 ほとんどのパスワードは,以下の3種類に分類できる。

・グローバル・パスワード:どこでも同じ一つのパスワードを使う人が多い。これは最悪の方法だ。例えば,何年も前に買い物で利用したWebサイトがハッキングされただけで,最近よく利用しているアカウントも全部ばれてしまう

・パスワード候補リスト:パスワードを複雑さで分けて表を作り,再利用する人もいる。こうしておくと,一番複雑なパスワードを金融関係のWebサイト,やや簡単なパスワードをオンライン通販サイト,そのほかのパスワードをSNSで使うといったことができる。だた一つのグローバル・パスワードを使うよりはるかに良いが,優れてはいない

・秘密のパスワード・メモ帳:アクセスするWebサイトごとに異なるパスワードを使う人はいるが,大量のパスワードを覚えておく必要があるため,全部メモ帳に書き留めてパソコンの脇に置くことになる。この方法は実用的でないし柔軟性にも欠ける(休暇や置き忘れてしまったときに問題だ)。メモ帳はなくしたり,オフィスやパソコンに近づきやすい人に盗まれたりもする。定期的なパスワード変更を社員に課している多くの企業は,パスワードを書いた付箋紙(ふせんし)や紙切れが引き出しなどに溢れていて,ほかの社員や清掃員,泥棒が簡単に入手できる状態だ

パスワード生成アルゴリズム

 パスワードを作るなら,頭に余計な負担をかけず再利用を排除できて,最大限複雑なものがほしい。そのためには,利用するWebサイトごとに異なる推測されにくいパスワードを生成できる秘密のアルゴリズムが必要だ。繰り返し実行できるアルゴリズムを作れば,パスワードを覚える必要性を下げられる。パスワード生成に必要なアルゴリズムだけを記憶すれば済む。そこで何か自分たちに関係する言葉を選び,アクセス先Webサイトに固有の情報を加え,加工すれば,パスワードを見られてもアルゴリズムは見破られにくくなる。

 「mcafee.com」用パスワードを作る例を説明しよう。

・自分に関係する言葉:light
・アクセス先Webサイト:mcafee.com
・生成したパスワード:123l1ghTjdqr33^!

 パスワードは複雑だが,この生成アルゴリズムは比較的単純だ。まず「123」を置き,次にlightの「i」を数字の「1」,最後にある「t」を大文字「T」に変えてつなげる。キーボードで「mcafee」の1段上にある文字(および数字)列「jdqr33」を付け,最後に特殊文字を入れるため「^!」を加える。

 自分に関係する言葉とアクセス先Webサイトを変えずに,もう一つ別のパスワードを作ってみた。

・生成したパスワード:LlIiFCM999gh+

 まず「light」の「l」と「i」を使っているが,それぞれ大文字と小文字にした。続いて「mcafee」から選んだ「mcf」を大文字に変え,「9」をいくつか挟み,「light」から取り出した「ght」の「t」を「+」にした。

 どのようなアルゴリズムでもパスワード生成に利用できるが,数字と文字(大文字と小文字の両方),特殊文字が入るようにしなければならない。ただし,認証システムによっては特殊文字を使ったパスワードや先頭が文字以外のパスワードを受け付けない。一つ目のパスワードが使えなければ,2回3回と試せばよい。よいパスワード生成アルゴリズムがあれば,あるWebサイト用パスワードが盗まれてもほかのWebサイトのアカウントをすべて守れる。作ったパスワードは推測されにくいし,パスワード一覧を持ち歩く必要もない。

 職場の管理者からパスワード変更を頻繁に求められるなら,パスワード全体でなく対象Webサイトに相当する文字列だけを書き留めておけばよい。こうしておけば,秘密のパスワード・メモ帳を見られてもアルゴリズムがないので悪用されない。


Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Make Your Password Secure」でお読みいただけます。