パスワードは付せんに書いて貼ってもいけない

写真拡大

メールやウェブサービス、社内システムなどにアクセスする際に、必ず求められるパスワード。安易なものを使っていると簡単に破られてしまい、個人情報や機密が漏れたり不正な使われ方をしたりするので注意が必要だ。

2011年に何らかの形で盗まれ、ネット上に公開されてしまった数百万のパスワードを米スプラッシュデータ社が分析したところ、トップ3には「password」「123456」「12345678」が並んだという。

英単語は「辞書攻撃」で簡単に破られる

4位の「qwerty」は、キーボードの左隅から6つ目までを並べたもの。これを応用した「poiuy」「asdfg」も危なそうだ。6位には「monkey」、8位には「letmein」(Let me in=私を中に入れて)、11位には「baseball」といったものが入っている。

08年に米サイトが公表した「見破られやすいパスワード・ワースト500」でも、上位には共通したものが挙がっているが、他には「fuckme」(20位)、「panties」(52位)、「biteme」(65位)、「sexsex」(164位)などといった卑猥で過激な言葉も見られる。

パスワードは他人には簡単に知られてはいけないものであり、教えにくい言葉にすることもありうるが、ここまでやる人がいるとはオドロキだ。とはいえ、いずれも簡単に推測されうる単語・短文であり、パスワードとしては不適切だろう。

パスワード破りの方法としては、文字列を自動的に生成してアタックする「総当り攻撃」と、よく使われる単語など利用した「辞書による攻撃」が知られている。ありがちな文字列をパスワードに使った場合には、これらの方法で簡単に破られてしまう。

スプラッシュデータ社では、破られにくいパスワードとして、英字・数字・記号を組み合わせて「eat cake at8!」「car_park_city?」といった8桁以上の独自の文字列を作ることを推奨している。

「誕生日」の数字も危ない

リクルートが運営する「キーマンズネット」でも、会員743人にパスワードに関するアンケートを実施している。パスワードに数字を求められ、つい使ってしまうものは「誕生日」と「電話番号」のどちらか尋ねたところ、「誕生日」が69%と圧倒的に多かった。

一生変わることがないから、という理由だが、個人情報と結び付けたパスワードは「類推による攻撃」に弱く、リスクが高い。円周率や平方根などの数列から一部を取り出し、英字や記号などと組み合わせたものに変えたほうがよさそうだ。

ただし、覚えるのが難しいほど複雑なパスワードは避けたい。パソコンの1人1台が実現する前には、職場の共用端末のパスワードを付せんに書き、モニターやキーボードに貼り付けている人がいたようだが、本末転倒だ。