全2056文字
PR

 筆者はここのところ認証関連のことを調べている。その最中に個人利用の米Apple(アップル)のiPhoneに見慣れぬ通知が出ていた。「侵害されたパスワード」というタイトルで、「いくつかのパスワードはデータ漏洩で検出されたことがある」というのだ。

 iOSデバイスでいろいろなサイトを利用している際に、保存しておいたパスワードが検証されていたわけだ。要するにパスワードの管理が緩いので修正しろ、ということだ。

iPhoneに表示された通知。「侵害されたパスワード」とあってぎょっとする
iPhoneに表示された通知。「侵害されたパスワード」とあってぎょっとする
[画像のクリックで拡大表示]

 これはiOS/iPadOS 14で導入された機能であり、目新しいものではない。例えば米Google(グーグル)のWebブラウザー「Chrome」も2019年10月から、パスワードの安全性をチェックする「パスワードチェックアップ」機能を標準搭載している。

 iPhoneの設定画面で改めてパスワードをチェックすると、(1)データ漏洩で検出されたことがある(2)そのほかのWebサイトで再使用されている(3)多くの人に使われている、という3つの理由に分類されている。これはなかなか合理的だ。

 (1)は直接不正アクセスを受ける可能性があることを示している。また(2)はパスワードリスト攻撃による不正アクセスの可能性だ。(3)はパスワードスプレー攻撃と呼ぶ、ありふれたパスワードを様々なアカウントで試す攻撃に対して弱い、ということを意味している。これならばまあ、修正しておこうかという気持ちになる。

 これに比べるとChromeの警告は「不正使用されたパスワード」と「脆弱なパスワード」の2種類。脆弱なパスワードの一覧には自分で設定したパスワードもずらりと並ぶ。恐らく辞書に載っているような言葉を使っていると「脆弱」と判定されるのだろう。正直「だからどうしろと?」という気持ちになった。

 脆弱なパスワードがなぜいけないのかというと、辞書型攻撃などのブルートフォース攻撃に弱いからだ。だがブルートフォース攻撃はあまり起こっていない。また複雑なパスワードであればパスワードスプレー攻撃は防げる。しかしどんなに複雑なパスワードでも、使い回していればパスワードリスト攻撃は防げない。フィッシングなどによる中間者攻撃の前では、パスワードの強度は意味を持たない。だからパスワード自体の強度を上げることに血道を上げるのはさほど意味がないという指摘もある。