今日から使える!カーネギーメロン大学直伝「ハッキングされないパスワード」
アメリカ・ペンシルベニア州ピッツバーグにあるカーネギーメロン大学は、カリフォルニア州にあるスタンフォード大学と並んで、コンピューターサイエンス分野において世界をリードする大学として有名です。
このカーネギーメロン大学の研究者らが、ハッカーの手法を研究しつくした成果として「ハッキングされないパスワードの複雑性」を発表し、ニュースサイトにて掲載されています。以下でご紹介いたします。
ハッカーから学ぶ防衛方法
ハッキングを行うに際して、ハッカーはどのような手法を用いているのかについて、実は満足のいく研究が行われていませんでした。例えば、「ハッカーはパスワードを1から順番に試してみて、ハッキングを行っている」などと言われることもありますが、こうした言葉がハッキング手法の実態を反映していないことが判明しています。
では、実際にハッカーはどのようにパスワードを解読しているのでしょうか。そのカギを握るのは、YahooやLinkedin、Adobeといった企業から大量に流出したアカウント情報とパスワード情報にありました。
ハッカーは無作為にパスワードを順番に総当たりした結果、たまたま運よくパスワード解読に成功するのではありません。流出したアカウント情報とパスワードを元に、最も短時間で解読するためのアルゴリズムを作成し、このアルゴリズムを用いて極めて科学的にハッキングを行っていることが明らかになっています。
ハッカー集団は、辞書で最も人気のあるパスワードと単語を推測することからアルゴリズム作成を開始します。そして、それぞれのパスワードに数字の「1」を追加したり、1桁の数字や記号を追加する、そして最初と最後の単語の文字を大文字にする、といった「パスワード作成時に頻繁に利用される手法」をアルゴリズムに加えていきます。
このようなアルゴリズムを作成した結果、パスワード総当たりよりはるかに短時間でパスワードを解読することができるのです。そして、ハッカーが利用するアルゴリズムの逆を行けば、誰でもハッキングされにくいパスワードを作ることが可能となるのです。
カーネギーメロン流・安全なパスワードの作り方
ハッキング手法についての詳しい研究結果が明らかにした、安全なパスワードの作成方法は以下の通りです。以下の項目をすべて満たすパスワードを作成することで、サイバー攻撃からあなたのアカウントを守ることができます。
1.パスワードの文字数を12文字以上にする
一般的には8文字以上と言われていますが、これより4文字多いことで多くのリスクを防ぐことができます。パスワードの文字数は多ければ多いほど安全と言われています。
2.英大文字、英小文字、数字、記号のうち2つまたは3つを利用する
最近のクラウドサービスの多くは、パスワード設定時に3種類または4種類の文字属性を用いる必要がある場合が多いので、この項目は特段驚きではありません。
3.大文字を冒頭に使わず、数字や記号を末尾に使わない
「冒頭が大文字」「末尾が数字記号」というのは、よく使われているパスワード作成方法であることが、ハッカーが作成したアルゴリズムから明らかになっています。ここまで読んで、「実は自分のパスワード、冒頭が大文字で末尾が数字だった」と気が付いてはっとする方も多いのではないでしょうか。
4.個人的な情報を含む文字列を使わない
人名(自分の名前、家族の名前、恋人の名前など)、ペットの名前、住んでいた都市や地域の名前、応援しているスポーツチームの名前、好きな物の名前、生年月日といった情報をパスワードに含めるべきではありません。
5.一般的な単語・フレーズ・歌詞等を使わない
どの言語であれ「愛」に関連する単語であったり、人気のある歌の歌詞などは避けるようにしましょう。また、辞書に載っている単語やフレーズも使うべきではありません。
6.キーボードの文字並び順をパスワードに使わない
キーボードのキーが並んでいる順のパスワード(例えば、1qazxsw2といったもの)は使うべきではありません。これも非常によく使われるパスワードとして有名です。
上記の1から6全てに従ってパスワードを作成することで、ハッキングされにくいパスワードを作ることができます。例えば「9iD&Bb#c3Eaz」のように、上記の条件をすべて満たす、無意味な文字列のパスワードであれば強度は高いと言えます。
IDaaSで管理者も従業員も安全と利便性を手にする
上記に従って、複雑でハッキングされにくいパスワードを1つ作ったとします。しかし、そのパスワードを使い回せないとなると、同じくらい複雑なパスワードを何個も、十何個も作って管理しないといけないのか、そう思われた方も多いかと思います。安全であったとしても、利便性が著しく悪化してしまいます。
企業であれば、従業員にそこまで強制するのは現実的に考えると難しいですし、強制したところで、みな手帳やパソコン上でパスワードを記録することになってしまうため、逆にセキュリティ的に脆弱になってしまいます。
情報セキュリティにおいては、「安全性の高さ」と「利便性の高さ」は常にトレードオフと考えられがちですが、クラウドサービスに各サービスにログインするためのパスワードを全て預けるという方法があります。これがIDaaS (Identity as a Service: クラウド型IDパスワード管理サービス)です。
上記の複雑性を満たすパスワードを1つ作成し、これを使ってIDaaSにログインします。そして、各サービスへのログインはIDaaSのクラウド上に記録されているパスワードを利用して、自動でログインができます(シングルサインオン)。複雑なパスワードはたった1つだけ作成・記憶すればよく、他のサービスのログイン用のパスワードはIDaaS上で管理されているため、記憶する必要がありません。また、そもそもIDaaS上の各サービスにログインするためのパスワードを、一般の従業員に知らせていない会社も多くあります。
弊社GMOグローバルサインのIDaaS「トラスト・ログイン」も、こうした高いセキュリティを満たす管理が可能です。弊社は、国内No.1のSSL認証局販売事業があるため、トラスト・ログインは登録アプリ数制限なし、そして登録ユーザー数の制限もなく無料で利用することができます(一部機能は有償の予定)。ぜひ検証頂き、ハッキングされにくいパスワード管理を実現ください。
