Microsoft MVP の Troy Hunt 氏は、人々が使っているパスワードに関して有意義な分析を行いました。残念なことに、これを可能にしたのはハックティビズムにおける最近の傾向です。攻撃によって獲得したものをオンラインに投稿して話題を呼び、攻撃された企業の名誉を傷つけることはハックティビストの常套手段です。企業とその顧客にとっては悪い知らせに違いないのですが、一方で研究者にとっては分析に利用できる豊富なデータを得ることができます。Troy 氏の調査から得られた結果は非常に興味深いものです。その結果をそのままここでお伝えするよりも、www.troyhunt.com/2011/06/brief-sony-password-analysis.html をぜひご自身でお読みになることをお勧めします。
Troy 氏のブログを読んで強く印象に残ったのは、人々が作成するパスワードの種類について私たちがどれほどの知識を持っていて、しかし、その知識をどれほど活用してこなかったのか、ということです。確かに、なぜクラックされにくいパスワードを作成する必要があるのかについて、私たちはスラスラとブログを書くことができますが、(他人のブログを書くスキルについてケチをつけるつもりはありませんが)これまで大きな進展は見られませんでした。
私は、このデータを活用してセキュリティを高める方法があると考えています。そして、それを行う責任は、セキュリティソリューション開発担当者である私たちにあると考えます。私たちがやるべきなのです。
現在の状況を考えてみましょう。どの Web サイトにも、パスワードに使用できる文字に関する規則があるようです。パスワードの長さに関する規則もあります。これらの規則は Web サイトで強制的に実行され、規則に従わない場合はパスワードを作成することができません。Web サイトでは、これらの規則が長さと使用文字に関するベストプラクティスに沿っていることを確認すべきですが、必ずしもそれは行われていません。しかし、私がセキュリティを向上させる絶好の機会を見出したのは、この点ではありません。これらのサイトでは、ユーザがパスワードを忘れないように、また、ただユーザーに面倒な思いをさせなくてすむように、という理由でパスワードの長さを短いままにしているのです。このような慣例については、後日またお話しします。
ここで、ユーザーにより安全なパスワードを作成させるソリューションを実行する、簡単な方法について説明します。アカウント作成プログラムは、パスワードの文字数が適切かどうかや、文字と数字を正しく組み合わせているかをチェックしているのですから、ハッカーが所有する、よく使われているパスワードのデータベースに含まれているパスワードが使用されていないかどうかもチェックできるはずです。
Troy 氏の調査によると、最もよく使われているパスワードの上位 25 件は、seinfeld、password、winner、123456、purple、sweeps、contest、princess、maggie、9452、peanut、shadow、ginger、michael、buster、sunshine、tigger、cookie、george、summer、taylor、bosco、abc123、ashley、baileyです。
2 つの Web サイトにアクセスして新しいアカウントをセットアップし、パスワードに「purple」(上記リストの 5 件目)を使用してアカウントを作成してみました。一方のサイトでは、弱いパスワードであると表示されましたが、それでもアカウントを作成することができました。別のサイトでは、パスワードに「purple」を使用することができませんでしたが、よく使われているパスワードだからという理由ではなく、文字数が短すぎたためでした。そこで、Troy Hunt 氏のブログをもう一度参照し、パスワード辞書で見つかったという 2 つのパスワード「1qazZAQ!」と「dallascowboys」を試してみました。やはり弱いパスワードであると表示されましたが、長さの規則を満たしていたため、そのサイトではどちらのパスワードも使用することができました。
そこで提案があります。これらのパスワード辞書を入手することは難しくありません。Web サイトでのチェック対象にこれらの辞書を追加して、よくあるパスワードを顧客が使用できないようにしてはどうでしょうか。確かに、一部のダラスカウボーイズファンはがっかりするかもしれませんが、グラウンドでのチームの最近の成績の方が大きな問題のはずです。顧客に面倒な思いをさせるとか、顧客を限定することになる、などとは考えず、顧客を教育するのだと考えてください。もちろん、それが顧客を保護することにもなるのです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。