第24回 あなたのパスワードは安全か?!
本連載も第24回となり、次回は3年目に突入します。思い起こせば第1回は「常に変化し続けるサイバーセキュリティの常識」と題して、内容はパスワードに関してでした。パスワードは現実社会に例えれば、鍵に相当するもので、家の鍵であったり、車の鍵であったり、さらには金庫の鍵であったりと、重要なものを守る要です。そのパスワードに関して、「出来るだけ長いパスワードを付けること」、「パスワードはメモに書いてはいけない、暗記すること」、さらには「定期変更すること」といったことは本質ではなく、「自分以外に推定されない」ことと、パスワードが洩れる可能性が0ではないことから、すべてのサービスに「個別のパスワードを付ける」ことが肝要だとまとめました。
パスワードが問題となったのはインターネットが一般の人に浸透し始めた20世紀末ごろからであり、特にネット決済やネット銀行等、資産に密接に関り、さらにスマートフォン(スマホ)が一般化し、ネットへの入り口を常に持ち歩くようになった、この10年近くになります。しかし一向にパスワードの問題は解決されていません。二要素認証、ワンタイムパスワード等、様々な技術が広められようとしているのですが、完全解決には至っていないのです。その証拠に、最近でもパスワードに関連した攻撃の被害に枚挙の暇がありません。昨年、社会的な問題となった、通称「ドコモ口座不正送金問題」も例外ではありません。
もちろん、日本国内に限った問題ではなく、国境のないネットの世界では各国共通の問題です。1983年創刊の世界的なパソコン雑誌としては老舗のPCWorldで、「完璧なパスワードの選択方法(How to pick the perfect password,https://www.pcworld.com/article/3604059/how-to-pick-the-perfect-password.html )」という記事が最近掲載されました。詳細は直接、読んでもらうことにして、記事の内容は大きく二つにわかれ、パスワードマネージャといった複数のパスワードを管理するスマホやパソコン上で動作するツールや、可能であれば2要素認証といった技術的な助けを借りることと、安全なパスワードであるための4つにまとめたルールの提示と、そのルールに適ったパスワードの作り方です。その4つとは、
1)他人に推測されないために、できるだけ長いパスワードを選ぶ
2)サービス毎に異なったパスワードを選ぶ
3)覚えられるパスワードを選ぶ(忘れないように記録する)
4)パスワードは洩れる場合がある、だから定期的に更新すること
です。この4つを忠実に守れば、確かに安全なパスワードを選択することができます。しかし、このルールは新しく提示されたことではなく、以前からずっと言い続けられているにも関わらず、すべてを忠実に守ることは困難なのです。具体的にはこの4つのルールを満足するパスワードの選び方がわからないのです。特に1)の「他人に推測されない」という条件です。単に長いパスワードだけでは不十分なのです。
PCWorldの記事ではパスフレーズを組み合わせる方法を提案しています。つまり、自分の好きな歌や小説の複数のフレーズを組み合わせるのです。ただし、このままでは個人情報から容易に類推される可能性があります。そのフレーズの中に、数字や記号を入れる、フレーズに外国語を入れる、また一部の文字の大文字小文字を入れ替える等、複雑にするのです。それをサービス毎に異なるパスワードにすることは必須です。しかし、複数の、しかもそれぞれを複雑にすると覚えられない可能性が出てきます。その場合は、自分や家族しか入れない場所にメモに書いて隠しておくのです。常に使うパスワードはできるだけ覚えるようにしましょう。どうしても覚えられないのであれば、自分の身の回りで、自分だけが知っている場所に何気なく書いておきましょう。間違ってもパスワード一覧と書くことは厳禁です。それぐらいは覚えておきましょう。また「定期的に変更する」ということは、記事中の具体的なパスワードの作り方にも触れられていません。この連載第1回にも書きましたように、他のルールを守っていれば必ずしも必要ではないのです。
閑話休題。その世界的なパソコン雑誌であるPCWorldで私の研究成果が話題になったことがありました。「一分で無線LAN暗号が解ける方法発見さる(New Attack Cracks Common Wi-Fi Encryption in a Minute
https://www.pcworld.com/article/170891/New_Attack_Cracks_Common_Wi_Fi_Encryption_in_a_Minute.html )」です。WEPという無線LAN暗号の国際標準方式が数秒で解読されることがわかり、その暫定的な後継としてのWPA-TKIPと呼ばれる方式も1分で解けるという内容です。記事の内容としては幾分誇張があり、実際は暗号が解けるのではなく、通信を不能にさせるDoS攻撃を成功させる方法です。