Photo By Shutterstock
伊藤僑
Free-lance Writer / Editor
IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。
パスワードの使い回しは危険だと言うけれど
SNS、オンラインショップ、オンラインバンク、電子マネー、チケット予約サービス、オンラインサロン、有料音楽・映像配信サービス、データベース、月額課金型ソフトウェア……利用時に認証のためのパスワードを必要とするオンラインサービスはますます増えるばかり。
同じパスワードを複数のサービスで使い回すことは危険なので、各サービス毎に異なるパスワードを用意しなければならない。そのことは重々承知している。でも、パスワードに使えそうな覚えやすい数列・文字列なんてそんなにあるはずもなく、「既に思いつく限りのものは使い切ってしまった」という人が多いのではないだろうか。
誰もが思いつきそうな数列・文字列といえば、本人か家族の誕生日、結婚記念日、会社創立記念日、住所、電話番号、社員番号、好きなタレントの名前、ペットの種類・名前、思い出深い楽曲名・映画タイトル、コンピュータ関連用語……どれもセキュリティ面からはパスワードへの使用をお勧めできないものばかりだ。
ますます高度化するパスワード攻略の手口
フィッシング詐欺やオンラインストアからの個人情報流出、名簿業者の販売する属性別リスト、ダークウェブでの流出リスト販売、パスワード総当たり攻撃、辞書攻撃、SNSやブログからの情報収集……犯罪者はあの手この手でパスワード攻略を狙った攻撃を仕掛けてくる。
2019年2月に報じられた、複数のサイトから盗まれたとみられる約6億人分のアカウント情報が、ダークウェブ上で販売されていたというニュースを見て、慌てて自分のパスワードを変更した人もいるのではないだろうか。
もはや他人事とは言っていられない状況であることを、すべてのネットユーザーは自覚すべきなのだ。
最近では「パスワードスプレー」攻撃という手口も報告されている。これはIDやパスワードなどの組み合わせを総当たりで攻撃するブルートフォース攻撃の一種。入力回数制限などによりアカウントがロックされる事態を避ける手法で、「iow-and-slow」攻撃とも呼ばれる。
意味不明の文字列に見えて、実は覚えやすい文字列
攻撃者から類推されてしまうパスワードでは危ないということで考案されたのが、意味不明の文字列に見えて、実は覚えやすいパスワードだ。例えば、アルファベットと「かな」が併記された日本語キーボードを使って、英文入力モードで日本語の単語を入力し、意味不明の文字列を作るという方法だ。
先日も、「ji32k7au4a83」というパスワードが、メールアドレスを入力するとデータ漏洩の有無をチェックできるサイトとして知られる「Have I Been Pwned(HIBP)」で頻繁に見られる人気パスワードとして話題となったが、実はこの一見ランダムに見える文字列も同様の方法を用いたもの。中国語(マンダリン)キーボードを使い、英文入力モードで中国語の「私のパスワード」と打っている。
どの国でも考えることは同じというわけだ。パスワード作成の手法が広く知れ渡ってしまっては、安全性を確保することは難しいので、この方法も避けた方がいいだろう。
強度の高いランダムな文字列を自動生成すれば?
では、攻撃に対して強度の高い、ランダムな文字列を自動生成してくれるサービスやソフトウェアを使えばいいかというと、その方法にも弱点はある。
自動生成された桁数の多いランダムな文字列となると、1つでも覚えるのは難しい。それを利用するオンラインサービス毎に多数記憶する必要があるとなると、もはや不可能と言っていいレベルであろう。
だからといって、紙やスマホのメモ帳などに記録しておくと、盗み見や紛失の危険がある。十分な安全性を確保するためには、パスワードを暗号化して保管し、閲覧時にはマスターパスワードの入力が必要になる専用アプリを利用することをお勧めする。
複雑な8桁のパスワードも2時間半以内で突破可能
コンピュータによる暗号解読能力が急速に向上しつつあることも懸念されている。
米Webroot社の上級セキュリティアナリストRandy Abrams氏によれば、大文字、小文字、数字、記号を含む8文字で作成できるパスワードは約6,600兆個あるという(ただし、この数値にはパスワード登録時の制約、「6桁以上」などにより除外されるものも含まれる)。
もはや天文学的と言っていい数値だが、最新の処理能力の高いコンピュータを用いれば解読することは不可能ではない。
NVIDIAの最新GPUであるGeForce RTX2080Tiとオープンソースのパスワードクラッキングツール「hashcat」を組み合わせれば、8文字のWindowsパスワードを2時間半で突破できるという、ハッカーのTinker氏による報告もある。
パスワードに、強度の高いランダムな文字列を使用したとしても解読されてしまうのだから、もはやパスワードを用いた認証の仕組み自体が限界にきているのかもしれない。
パスワードなしログインの「WebAuthn」をW3Cが正式勧告
このような状況を受け、ウェブ技術の標準化を進めるWorld Wide Web Consortium(W3C)は、パスワードが不要な新しいWeb認証APIである「Web Authentication(WebAuthn)」を正式勧告した。
このWebAuthnは、W3Cが非営利団体FIDOアライアンスと共同で策定を進めていたもの。ユーザーはログインする際に、パスワードの代わりにセキュリティキーやデバイスに内蔵した指紋センサーなどを用いた生体認証を行う。
生体認証情報などはウェブサービスに直接保存されるわけではなく、サーバ側には公開鍵のみが渡され、秘密鍵はデバイス側に保存される。そのため、サーバから情報が漏洩しても、安全は確保できるというわけだ。
このWebAuthnの普及が進み、パスワード利用の煩わしさから一日でも早く解放されたいものだ。
個人的には、花粉症やインフルエンザが流行する時期にはマスクで顔認証が、寒い冬の外出時には手袋で指紋認証が困難なので、1つのデバイスに複数の生体認証を搭載して欲しい。