PR

あけましておめでとうございます。今年もよろしくお願いします。

 みなさんはパスワードをいくつお持ちですか?
 もしかして、銀行口座やクレジットカードのパスワード、コンピュータのログオンパスワード、メール受信のパスワード、会員となっているWebサイトのパスワードなど、何種類ものパスワードの管理に追われてたりしませんか?
 いや、管理に追われているのならまだしも、ずっと初期設定のままだとか、管理していなかったりしていませんか(笑)?

 確かにパスワードは厄介です。何が厄介といって、記憶しなければならない、というのが最も厄介ですよね。銀行のように4桁の数字とかならまだしも、8文字以上とか言われるともう「記憶」なんて最初っから諦めるしかない。しかも、知ってる単語を使えないわ、いろんな文字を使えと言われるわ、そうやって出来上がってきたパスワードは当然ながら意味不明、そんなものどうやっておぼえろというのか……。

 しかし、パスワードが複雑でなかった、ということが原因で、さまざまな事件が起きています。

 例えば、オークション詐欺などがそうです。登録しただけで使われていない、休眠中のオークション用IDが詐欺に悪用されるケースが増えています。他人になりすまして仲間うちで評価を上げたのちに、大量の空出品などで一挙に儲けて行方をくらませる、というのが流行の手口です。
 休眠中とはいえ、パスワードがかかっているIDが悪用されるのは、推測しやすい、いわば「弱いパスワード」が使われているからです。IDがsonodamで、名前がSonoda Michioという人がいたとしたら(実際にいますが(笑))、パスワードはsonodamか、sonodaかmichioをまず試すでしょう。それでダメなら生年月日関連(オークションなどでは生年月日や住んでる県などが閲覧できることもあります)、あるいは両方をミックスしてみます。そんなごく簡単な連想で、「解読」できるパスワードはけっこう多いようです。

 オークションだけでなく、オンラインゲームやブログ、それにSNSなどでもパスワードは狙われています。オンラインゲームの場合、RMT(リアル・マネー・トレード)という、ゲームで集めたアイテムなどを売り買いする市場が存在し、レアなアイテムを売ったりすれば金儲けができるのです。自分でアイテムを集めるのは時間も手間もかかりますが、アイテムを持っている誰かのパスワードがわかればそんな苦労は必要ありません。

 お金以外にも動機はあります。例えば恨みや嫌がらせ、あるいはストーキングなどです。筆者の知人にも、実際にSNSのIDを他人に乗っ取られて、嫌がらせをされた人が何人かいますが、友人・仕事関係に少なからぬ影響を及ぼされた上に、後処理に手間暇かかってしまうという「被害」を受けてしまったようです。

 そんな被害に遭わないために、弱くないパスワードをつけたいところです。

 そのためにはまず、複雑であること。複雑というのは、
・辞書に載っている単語を基にしていない
・英字、数字、記号などの文字を含む
という条件を満たしたモノのことです。
 辞書に載っている単語を基に作ったパスワードは、解析にかかる平均時間が最も短いと言えます。20万語の辞書を使ったとしても20万回、単語のうしろに数字を3文字付けたとしたら、10+10の2乗+10の3乗は1110なので、試す回数の最大は(途中でわかってしまう場合もあるので)20×1110=22200万回=2億2200万回=222000000回ということになります。それに対し、辞書には無いパスワードの場合、わずか4文字で4228250625回もの試行が必要になります。解析されるまでの寿命が(平均的に)どちらの方が長いかは、お分かりでしょう。

 次に、長いこと。最低でも8文字、とは良く言われる数字ですが、Windowsの場合は15文字以上は欲しいところです。パスワードはコンピュータの中に暗号化されて保存されるわけですが、Windowsで14文字以下のパスワードを設定した場合、保管形式が非常にわかりやすい、つまり解析しやすいものになってしまうからです。ノートパソコンなどを盗まれた、あるいは落としたとしたら、盗んだ人・拾った人がもしかしたらパスワードを解析したくなるかも知れません。そういうとき、14文字以下ではそれこそあっという間に(は、大げさですが、少なくとも数日のうちに)解析されてしまうことでしょう。そうならないように、十分に長くしておきましょう(ちなみに、現在の主なWindowsでは、パスワードは最大28文字だそうです)。

 パスワードを15文字にしたら、最大256の15乗(1.3292279957849158729038070602803e+36)回試さなければならなくなります。Lhaplusというツールのパスワード解析機能(下の画像)を手元のコンピュータで計測してみたら、4文字の場合256の4乗回=4228250625回試すのに3時間強かかったので、3時間×256の11乗(309485009821345068724781056)=38685626227668133590597632日=105988017062104475590678年ということになります。もちろん、もっとすごいコンピューターを使えば、この時間はかなり縮小できるでしょう。しかし、ツールの処理やコンピューターの性能によって、1000倍のパフォーマンスだったとしても105988017062104475590年かかるのです。まあ、いずれにしても解けないということでしょう。

Lhaplusのパスワード診断機能

 さて、いろいろ気をつけて強いパスワードを手に入れたとしましょう。そんなもの普通覚えられない…、というのが正直なところでしょうか(笑)?…と言っている間に、紙幅?が尽きそうです。強いパスワードの使い方についてはまた来週。