技術的アプローチにも欠陥はあり、AVARの英語論文「People Patching: Is User Education of Any Use At All?)」で、ランディ・アブラム氏とこれらの論点について詳細な議論をしています。ロバート・スレード氏は、最近ブログ「Security unawareness」で非常にすばらしい議論を展開しています。
「魚を与えれば、その人はその日の糧を手に入れられるが、魚釣りを教えれば、一生の糧を手に入れられるようになる」という主旨の慣用句があります。その真偽はさておき、セキュリティという文脈で考えてみる価値はありそうです。
ただ、次のようにいい換えたほうがいいでしょう。
「フィッシングの実例をみせれば、その餌食にならないようにできます。フィッシングを見破る方法を教えれば、今後のたくさんの頭痛の種を取り除くことができます。」
フィッシング事例については、ESETセキュリティブログのフィッシングカテゴリをご参照ください。
■ セキュリティ破りの「ペア」
私が今日いいたいのは、同じようなことが「パスワードの組成」についてもあてはまるのではないかということです。
パスワードは、セキュリティの一分野というより、プライバシーの一分野といったほうが正確ですが、多くの人にとってより身近な関心事です。
今年は特に、パスワード破りが頻繁に起こった年でした。私はたびたびMark Burnett氏による使用されすぎのパスワードのリストについて言及してきました。他のジャーナリストも同様のリストを論じています。
ごく一般の人にとって、一体パスワードリストの活用にはどのような意味があるといえるのでしょうか?
■数字も文字も、同じ文字を何度も利用する羅列パスワードはNG
最近サイト破りにあったYahoo!のように、3回連続してログイン失敗をするとロックがかかってしまうサービスでは、このようなリストのトップ25に入るようなパスワードは避けなければなりません。
ロックがはずれて元に戻ってしまったら、あてずっぽうにパスワードを当てられてしまう確率は下げられます。ただ「これらのごく少数のパスワード例を必ず避けなさい」と教えるだけでは、「有効なパスワードを作成するやり方」を教えていることにはなりません。
機械的に何百万もの候補を組成できる辞書的なアプローチのパスワード破りのプログラムに対抗するには、25であれ「10000」であれ、十分な数とはいえません。
私はこれらの2つのアプローチを比較しています。悪いパスワードのリストを望ましくない順に並べてみると、いくつかパターンを発見できるようになります。
"a"
"aa"
"aaa"
.....
"aaaaaaaaaaaaaaaaaaaaaaaaaaaa"
"b"
"bb"
この並びには規則性があることが分かりますが、ただ羅列していくより「同じ文字を何度も繰り返し使うような作り方をしてはいけない」、あるいは「passwordはパスワードとして最悪」といったことを教えることが重要です。
「25のパスワード」をまたお見せします。ただし、使用頻度ではなく、アルファベット順に並べてなんらかの規則性を見つけられるかみてみたいと思います。
並べ替えてみると、
リストをみていると面白いことがわかりますし、予想していなかった発見もあります。
小さいサンプル使用の危険さと、かってに文脈を変えて使用する危険性を示唆しています。「数字データ」のより大きいパスワードデータのサンプルを分析すると、「単一文字を繰り返し使用しない」というルールは、文字でも数字でもあてはまることがわかります。
この小さいサンプルでは、「111111」という例しかないのであまりあてはまってはいません。しかし、信じていただきたいのですが、もっと大きいサンプルをとれば、数字でも文字でも単一文字の羅列が使用されすぎていることは明白です。
■ 数字を利用するパスワードで注意すべきこと
ルールといえるのは、1からはじめて1つずつ大きくなる数字は悪いパスワードということです。これらはわれわれのリストに入っており、一つを除いてトップ6に入っています。
興味深いことに、1234567はずっと下位の25番目にきます。これはおそらく、過去の多くのパスワードが6文字のみしか要求しなかったためではないでしょうか?
このような安易なパスワードを選択する人は、6文字でよければ7文字をわざわざ入力するような面倒なことはしないでしょう。7文字入力が要求されることはまれです。
しかし、最近パスワードに厳格になってきたウェブサービスは8文字要求が大半です。12345678の順位が高いのはそのせいでしょう。PINのデータで1234も非常に高い順位に位置します。
人がこのような数字のパスワードを好む理由は2つ考えられます。
1. 1つずつ増加する数列は覚えやすく、いつやめるかを覚えるだけでいいのでラク。
2. 順序を覚えなくてもいいということがいえます。通常のコンピュータキーボードで、ある特定の列のキーから順番に機械的に打ち込めばいいのであれば非常にラクです。「qwerty」も高い順位に位置していますが、これは数字の下のキーボードの文字列そのものです。もっと長い文字列を要求される場合、「qwertyuiop」もよく使われます。キーボードの文字配列が違う国では、たとえば「azerty」といった同じような安易なロジックでのパスワードの生成をする人が多数います。
では、2000はどうでしょう?
これも非常によく使われます。何故なのでしょうか?
PINには4文字の覚えやすい日付や年号を使うからでしょう。覚えやすい番号(1066, 1492, 2000, 2001=オリンピックのあった年号)をハッカーは好んで試すので、こんな番号を使ったら破られるのは時間の問題でしょう。
次に、「696969」があります。「pussy」も人気があります。多くの猫好きの人が選んでいるかもしれませんが、おそらく真実は、セックス関連の言葉も人気があるということでしょう。
このリストには、他のセックス関連の言葉は出現しませんが、他のリストには、4文字の単語を含め、結構出てきます。私は特にまじめというわけではないですが、卑猥な言葉をパスワードにする人などいないと考えられている人は完全に間違っているといえそうです。
アルファベットはと数字の混合が1つだけ登場します。「abc123」です。他のリストにはこのような例がいくつかあります。「NCC1701」などです。
これは、別名「USS Enterprise」なのですが、これらは当然避けたほうが懸命です。
■スポーツ選手の名前も注意
スポーツ関連も人気があります。特に、野球やサッカーは人気があり、当然避けたほうがよい分野ですが、他のスポーツでも人気があるものもあります。例えば、「Michael」「Jordan」といったものですね。
辞書にのっているような単語はいつかは見破られてしまうのです。リスト上の他の辞書にのっているような単語を選択する心理的な理由を考察してもいいのですが、あまり意味があるとも思えません。
トップ25でこれ以上ルールを考える余地はあまりありません。次のブログでは、もうまじめにパスワードを作成する方法をゼロから考えていこうと思います。
しかし、どんなにすごいパスワードを考えても、セキュリティを提供するサービス業者が十分な仕事をしていなければ、まったく意味がないということも肝に銘じましょう。
■ トップ25から学べる教訓:パスワード作成時に気をつけるべき5つの対策
・トップ3に入るようなパスワードを選択しないことはいいことですが、認証システムが機能し、サービス提供者のセキュリティが十分であることが大前提で、リスト上のパスワード候補を使用しないだけであれば、十分とはいえません。
・パスワード、パスワードのフレーズ、PINに単一文字の繰り返しを使用することは大変危険です。
・数字や文字を規則正しい増加数やキーボード配列で並べるのは大変危険。推量・辞書・アルゴリズム使用の方法いずれかで見破られるのは時間の問題です。「0123456789」「abcdefghijklmnopqrstuwxyz」といったパスワードは破ってくれと謂わんばかりにすぐ見破られます。
・辞書で簡単に見つかる単語も、何度も認証をトライさせてくれるような承認ロジックがとられえているサイトでは、非常に悪いパスワード候補です。
・セックス用語や、罵倒するののしりの汚い言葉はパスワードに多用されているので、見破られやすいです。
よいパスワード管理ソフトは、破られにくいパスワードを考える手間を省き、同じパスワードを何度も別のサイトで使用する誘惑から逃れるのに、したがって、一箇所で破られても別の複数のサイトで破られる危険性を減少させるのに有効です。
最近破られるサイトが多発していますし、関心の向きも多いと思います。私はパスワード管理ソフトを今いろいろ吟味しており、特定のソフトを支持するのは気がひけますが、このようなソフトに何を求めたらよいかについて、議論する記事を書く予定にしています。
出典:blog.eset.com
