元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。アイティメディアのONETOPIでは「ディズニー」や「博物館/美術館」などのキュレーターをこなしつつ、自分の生活を変える新しいデジタルガジェットを求め日々試行錯誤中。
今回もパスワードの話をしたいと思います。「また?」と思うでしょう。しかし、現状が変わるまでこの話はしつこく続けていかなくてはなりません。
順位 | パスワード内容 | 利用者数 |
---|---|---|
1. | 123456 | 約190万人 |
2. | 123456789 | 約44万6000人 |
3. | password | 約34万6000人 |
4. | adobe123 | 約21万人 |
5. | 12345678 | 約20万人 |
6. | qwerty | 約13万人 |
7. | 1234567 | 約12万4000人 |
8. | 111111 | 約11万4000人 |
9. | photoshop | 約8万3000人 |
10. | 123123 | 約8万3000人 |
2013年10月、米Adobe Systemsが不正アクセスを受け、少なくとも3800万人分のユーザーIDと、暗号化されたパスワードが流出した事件がありました。この暗号化されたパスワード、現在ではすでに一部が推測可能状態になっており、使われていたパスワードのトップテンも発表されています。
使われていたパスワードのトップテンをみて、読者のみなさんはどう思いますか。「自分も使っているなあ」なんてものがありませんでしたか?
通常パスワードは、システムに保存するときにそのままではなく暗号化を施すことが通例です。アドビは今回暗号化していたと発表していますが、上記記事では「ユーザーが平文で保存していた『パスワード推測のヒント』があったおかげ」で一部が解読できたとされています。
ここでいう「パスワード推測のヒント」とは、Windowsのログイン画面にもあるような、利用者がパスワードを思い出せるようにするための短文を登録する仕組みです。実は今回、これが大きなヒントとなり、暗号を解くカギにもなってしまいました。
この件について興味深い考察を見つけました。筆者の知人でもある根岸氏の記事「Adobeでよく使われるパスワード Top 10(参照リンク)」によると、今回流出したパスワードの中には、メールアドレスに「yahoo.co.jp」を使って登録したものが約100万件含まれていました。その利用者に限った流出パスワードトップテンを公開されています。
特筆すべきはその「パスワードのヒント」。例えば堂々トップに輝いたパスワード「123456」に対するヒントが「654321」であったり、第2位「123456789」に対するヒントがやっぱり「987654321」だったりと、何ともいえない気分になる結果になっています。
この結果から導かれるのは「パスワードの使い回しをやめよう」「単純なパスワード文字列はやめよう」といった、いつもの結論です。特に、今回トップテンに入っているようなパスワードは絶対に使ってはいけません。
そしてもう1つ、重大な結論があります。「パスワードのヒント」は意味がないうえに、暗号化解読のヒントにもなってしまいます。利用者のためによかれと思って作った機能だとは思いますが、いまではほとんど意味がなさそうです(パスワードを忘れた人がとりそうな行動を想像してみてください。ヒントから思い出そうとするよりも、すぐにパスワードの再発行メールを受け取ろうとすることでしょう)。
パスワードのヒントは、「秘密の質問」と同じくらいナンセンスなものだと筆者は考えています。もし読者の中にWebサイト設計者がいましたら、ぜひ「実装しない」ことを考えてみていただけませんか?
そして、ユーザーのみなさん。今後、会員登録時にパスワードのヒントを入力しなくてはならないサービスに出会ったら、そのときはまったく無意味な文字を入れておくことをお勧めします。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PRアクセスランキング