パスワード設定どうしてる?複雑でも意味がないってホント?

パスワードはどうあるべきか?

皆様はパスワードを設定するときはどうするでしょうか?当然生年月日を避けるとしてどんな文字を折り込みますか?パスワードを設定するときによく言われるのが、「パスワードは長く、英数字を混ぜたほうがいい」だとか、「他人に推測されないパスワードを作ることが重要だ」という意見が一般的に言われています。そんな中、Microsoftの個人情報部門セキュリティ保護チームに勤務するアレックス・ヴァイネルト氏は「パスワードについての言説は誇張されたものが多く、実際にはパスワードの長さや複雑さはそれほど重要ではありません。」と解説しています。

セキュリティチームが見ているセキュリティの現実

Microsoftでセキュリティに関する仕事に従事しているヴァイネルト氏は、週に一度「なぜパスワードにまつわる多くの誇張されたエピソードが流布しているのか?」という点について、関係者と議論しているとのことです。「誰も使ったことの無いようなパスワードにする」「できるだけ長いパスワードを使う」といったパスワードに関する主張は広く受け入れられています。しかし、このような主張はセキュリティ対策チームからするとナンセンスだと主張します。

ヴァイネルト氏は「パスワードについてばかり議論することは、多要素認証やセキュリティ上の脅威を検出する精度の向上など、セキュリティにとって本当に重要なことから目を逸らす結果になってしまう」と指摘しています。パスワードの長さや複雑さがそれほど重要ではないと理解するには、悪意のある攻撃者が実際にどのようにしてパスワードを突破するのかを理解することが重要だということです。

個人のパスワードが突破される方法と攻撃に対するパスワードの重要性

◆1:Credential Stuffing攻撃→パスワードは重要ではない

Credential Stuffing攻撃とは、流出したアカウント情報を使って様々なサービスに自動で不正アクセスするという攻撃手法です。ヴァイネルト氏によるとCredential Stuffing攻撃は非常によくある攻撃手法だそうです。この場合、すでに攻撃者は流出した「正しいパスワード」を入手してしまっているため、どれだけ複雑なパスワードを設定しようとしてもセキュリティ上は関係ありません。

◆2:フィッシング詐欺→パスワードは重要ではない

フィッシング詐欺は企業などになりすましたメールを送信し、偽のWebページなどへ誘導してアカウント情報などをゲットするというものです。全受信メールのうち0.5%がフィッシング詐欺を目的にしたものだとヴァイネルト氏は指摘しました。人々にとってフィッシング詐欺は身近な脅威であるそうですが、この場合もパスワードそのものは関係ないということです。人々がフィッシング詐欺にだまされないように、対策としてはインターネットリテラシーを高めるのが有効です。

◆3:マルウェアによるキーロギング→パスワードは重要ではない

キーロギングとは、キーボードを叩いた動作をソフトウェアあるいはハードウェアが記録することを指します。マルウェアの中にはこっそりとキーロギングを行い、第三者に送信するタイプのものもあります。この場合、パスワードをどのような複雑な文字列にしていようとしていなかろうと、マルウェアが誤ったキーロギングを行うことはありません。なお、ヴァイネルト氏によると、攻撃手法としてはそれほど使われるものではないといいます。

◆4:様々な手がかりからパスワードを突き止める→パスワードは重要ではない

例えば、パスワードを自分で覚えられない人が残したメモ、あるいは共有状態になっているファイルからパスワードを記したテキストを探したりといった手法はほとんど使われることなく、犯人側が実際にパスワードを突き止める可能性も低いということです。この攻撃が成功した場合も、犯人は実際に正確なパスワードを入手できているため、いくら複雑なパスワードを用意しても関係ないといえます。

◆5:脅迫によるパスワード取得→パスワードは重要ではない

悪意のある人物が「パスワードを教えないと重要な秘密をバラすぞ!」といった脅しをかけてくるケースはめったにありませんが、映画などのフィクションの中ではたまにみるとヴァイネルト氏は指摘します。この場合もパスワードそのものは重要ではありません。

◆6:パスワードスプレー攻撃→パスワードは少し重要

パスワードスプレー攻撃とは、大量のアカウントに対して「同一のよく使われるパスワード」を用いてログイン試行を行う攻撃手法のことを指します。パスワードスプレー攻撃は近年になって増えており、ヴァイネルト氏は1日で10万人を超える人々がパスワードを破られることがあると述べております。この場合、攻撃者は実際にパスワードを所持しているわけではなく、よく使われるパスワードのいくつかのパスワード」で手当たり次第に攻撃を試みます。そのため「qwerty」「123456」「pass1234」といった単純なパスワードを使っている場合を除き、パスワードの複雑さはそれほど関係ないといいます。

◆7:ブルートフォース攻撃→パスワードは少し重要

理論的にあり得るパターンを全て入力することでパスワードの突破を試みるブルーフォース攻撃は、よほど重要なターゲットではない限りほぼ遭遇しない攻撃手法です。総当たりで突破を試みるという性質から、パスワードが長いほうが時間稼ぎになるので有利です。

パスワードに関する考察

ヴァイネルト氏は極端にセキュリティが低いパスワードでさえなければパスワードの複雑さそのものがセキュリティに大きな影響を与えることは無いと指摘しています。危険なパスワードランキングなんてものも発表されていて、ここにランクインしているものさえ避ければ問題ないという捉え方で問題ありません。パスワードについて頭を悩ませるのではなく、デバイスのセキュリティやネットリテラシーを高めて、パスワードと別の要素の組み合わせた多要素認証を用いることがパスワードの複雑さよりも遥かに重要であると主張されています。

Follow me!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です