敵をあざむくなら、まず自分から――「パスワードのヒント」に本当のヒントを入れるな!半径300メートルのIT

» 2013年11月18日 08時00分 公開
[宮田健,Business Media 誠]
※本ページはアフィリエイトプログラムによる収益を得ています

著者紹介:宮田健(みやた・たけし)

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。アイティメディアのONETOPIでは「ディズニー」や「博物館/美術館」などのキュレーターをこなしつつ、自分の生活を変える新しいデジタルガジェットを求め日々試行錯誤中。


 今回もパスワードの話をしたいと思います。「また?」と思うでしょう。しかし、現状が変わるまでこの話はしつこく続けていかなくてはなりません。

順位 パスワード内容 利用者数
1. 123456 約190万人
2. 123456789 約44万6000人
3. password 約34万6000人
4. adobe123 約21万人
5. 12345678 約20万人
6. qwerty 約13万人
7. 1234567 約12万4000人
8. 111111 約11万4000人
9. photoshop 約8万3000人
10. 123123 約8万3000人

 2013年10月、米Adobe Systemsが不正アクセスを受け、少なくとも3800万人分のユーザーIDと、暗号化されたパスワードが流出した事件がありました。この暗号化されたパスワード、現在ではすでに一部が推測可能状態になっており、使われていたパスワードのトップテンも発表されています。

 使われていたパスワードのトップテンをみて、読者のみなさんはどう思いますか。「自分も使っているなあ」なんてものがありませんでしたか?

「123456」を暗号化しても、ヒントが「654321」じゃあ……

 通常パスワードは、システムに保存するときにそのままではなく暗号化を施すことが通例です。アドビは今回暗号化していたと発表していますが、上記記事では「ユーザーが平文で保存していた『パスワード推測のヒント』があったおかげ」で一部が解読できたとされています。

Windows 7 Windows 7のログイン画面「パスワードのヒント」

 ここでいう「パスワード推測のヒント」とは、Windowsのログイン画面にもあるような、利用者がパスワードを思い出せるようにするための短文を登録する仕組みです。実は今回、これが大きなヒントとなり、暗号を解くカギにもなってしまいました。

 この件について興味深い考察を見つけました。筆者の知人でもある根岸氏の記事「Adobeでよく使われるパスワード Top 10(参照リンク)」によると、今回流出したパスワードの中には、メールアドレスに「yahoo.co.jp」を使って登録したものが約100万件含まれていました。その利用者に限った流出パスワードトップテンを公開されています。

 特筆すべきはその「パスワードのヒント」。例えば堂々トップに輝いたパスワード「123456」に対するヒントが「654321」であったり、第2位「123456789」に対するヒントがやっぱり「987654321」だったりと、何ともいえない気分になる結果になっています。

Webサイト設計者さんへ――もうパスワードのヒントはやめませんか?

 この結果から導かれるのは「パスワードの使い回しをやめよう」「単純なパスワード文字列はやめよう」といった、いつもの結論です。特に、今回トップテンに入っているようなパスワードは絶対に使ってはいけません。

 そしてもう1つ、重大な結論があります。「パスワードのヒント」は意味がないうえに、暗号化解読のヒントにもなってしまいます。利用者のためによかれと思って作った機能だとは思いますが、いまではほとんど意味がなさそうです(パスワードを忘れた人がとりそうな行動を想像してみてください。ヒントから思い出そうとするよりも、すぐにパスワードの再発行メールを受け取ろうとすることでしょう)。

 パスワードのヒントは、「秘密の質問」と同じくらいナンセンスなものだと筆者は考えています。もし読者の中にWebサイト設計者がいましたら、ぜひ「実装しない」ことを考えてみていただけませんか?

 そして、ユーザーのみなさん。今後、会員登録時にパスワードのヒントを入力しなくてはならないサービスに出会ったら、そのときはまったく無意味な文字を入れておくことをお勧めします。

Copyright © ITmedia, Inc. All Rights Reserved.