パスワードが嫌いであろうと大嫌いであろうと、容易には無くせないのが現実だ。正直なところ、パスワードを好む人はいないだろう。せいぜい必要悪であり、最悪の場合には犯罪者や法執行機関があなたのデータにアクセスするための弱点となる。主要なテクノロジー企業がパスキーによる置き換えに全力を注いでいるにもかかわらず、古くからのパスワードは今なお残り続けている。
一方で、インフォスティーラー型マルウェア(情報窃取マルウェア)によって数億件もの認証情報が漏洩し、攻撃者はユーザーからパスワードをだまし取る新たな手口を常に考案している。そして今や、強力で安全とされてきたパスワード作成法でさえ、新たな研究によって最適とは言いがたいことが示されている。ここでは、知っておくべきことと取るべき対策をまとめる。
「十分に強い」パスワード作成の助言が崩壊
長年、多くの人々が「完璧なパスワードの作り方」を説いてきたが、その多くは誤りだと証明されてきた。たとえば、3600個のスマイリー絵文字を使えば安全になるわけではない。ブラックダック(Black Duck)のシニアセキュリティコンサルティングマネージャーであるアキル・ミタルは、「数年ごとに、パスワードのいわゆる『修正策』が登場します、より長いパスフレーズ、画像ベースのログイン、そして今は絵文字パスワードというわけです」。けれども、いずれも予測可能性・使い回し・人的ミスといった壁に阻まれるのが現実だ。
では、英国ナショナルサイバーセキュリティセンター(National Cyber Security Centre)などが推奨してきた「3つのランダムな単語を組み合わせれば、長くて強度の高いパスワードを簡単に作れる」(以下、3単語パスワード)という方法はどうだろうか。この方法は「覚えやすく、サイバー犯罪者に対して十分強い」という触れ込みだった。しかし新しい研究によると、この助言も大きく揺らいでいるようだ。
皮肉なことに、法執行機関は「3単語パスワード」をさらに速く解読可能
3単語パスワード作成法は、警察などの法執行機関やセキュリティ機関が推奨してきた事実を踏まえれば、今回の研究で「それらの機関が実は大きな恩恵を受けている」と判明しても、さほど驚くべきことではない。
プリマス大学のモハマド・ハシェム、アダム・ランフランキ、ネイサン・クラークと、スウェーデンのヨンショーピング大学のヨアキム・カヴレスタッドが執筆したレポート 『Optimizing Password Cracking for Digital Investigations(デジタル調査のためのパスワード解読の最適化)』によれば、「3単語パスワード」で作られたパスワードのうち最大77.5%が、「一般的な単語の30%から構成される辞書サブセット」を使うことで解読可能になるという。
研究チームは、犯罪捜査におけるデジタル・フォレンジックの一環として、より効率的にパスワードを解読する手法を模索した。従来のブルートフォース攻撃や辞書攻撃、ルールベース攻撃では「計算の複雑性が増すにつれ効率とのバランスを保つのが難しい」という問題がある。そこで彼らは、ルールベースの最適化技術を用いて法執行機関によるパスワード解読の効率を高めつつ、消費リソースを最小限に抑える方法を探った。
その結果、「計算反復回数を約40%削減する最適化されたルールセット」を用いることで、パスワードの解読速度を大幅に向上できることが判明した。また、「3つの単語を使うパスワードは覚えやすく使いやすい一方、一般的な単語の組み合わせを使うと脆弱性が残る」ということも示唆している。
