PR

 まずは、パスワードの現状を考えてみよう。複数のセキュリティ専門家に話を聞くと、一般ユーザーの多くは、下図のような文字列をパスワードに設定しているという。

複数の専門家への取材を基に、編集部で作成。専門家によれば、個人ユーザーと企業ユーザーのいずれでも、上記のようなパスワードを設定しているユーザーは多いという。特に多いのが(1)と(2)

 特に多いのが、(1)ユーザーIDと同じ文字列、と(2)パスワードなし。(1)は、ユーザーIDが例えば「user123」だったら、パスワードも「user123」にすること。(2)では、パスワードの入力が求められたときにリターンキーを押せば、正規のユーザーとしてログインできてしまう。

 (1)と(2)が多いのは、家庭でパソコンを使っている個人ユーザーに限らない。企業内ユーザーでも同じだという。「数年前、社員が1000人規模の企業で調査したところ、4割のユーザーが、(1)あるいは(2)だった」(セキュリティ製品を開発販売するセキュリティフライデー社長の佐内大司氏)。「以前調査したある企業では、ドメインコントローラとして使っている重要なコンピューターが『パスワードなし』で驚いた」(マイクロソフトのチーフセキュリティアドバイザーの高橋正和氏)。同様の話は、複数の専門家から聞かれた。

 「password」などの一般名詞や、人名などの固有名詞も多いという。「『パスワードには、他人には分からない言葉を設定しろ』と言うと、必ずあるのが、自分の彼女やペットの名前。『誰にも話していないから大丈夫』だと言う」(セキュリティフライデーの佐内氏)。

 覚えやすさや入力のしやすさを重視して、短い文字列や、キーボードの配列を利用した文字列をパスワードにするユーザーも多い。

 そのほか、「キャッシュカードの暗証番号と同じ感覚で、4けたの数字をパスワードにしているユーザーは少なくない」(マイクロソフトのセキュリティレスポンスマネージャの小野寺匠氏)。

[では攻撃者がとる手口とは:次ページへ]