ほとんどのユーザーが巧妙にパスワードを設定しても、ハッカーから身を守ってくれないのは既に周知の事実です。多くのサイトで求められる複雑なパスワード設定も、それほど役に立っていないことが判明しました。

複雑な要件はハッカーを阻止できず、私たちは依然として予測可能

上の動画では、セキュリティコンサルタントのリック・レッドマン氏が、多くのウェブサイトがパスワード作成時に脆弱な、あるいは時代遅れのルールを採用していることを説明しています。ログイン情報を作成するウェブサイトでは、おそらく以下のような要件が定められているでしょう。

• 8文字以上である必要があります。

• 大文字、小文字、数字を使用する必要があります。

• %、&、*、! などの特殊文字を使用する必要があります。

これらはパスワードをより安全に感じさせ、123456 のようなパスワードよりも強力ですが、現代のパスワード クラッカーにとって、これらは簡単に回避できるハードルです。 Redman 氏が指摘するように、クラッカーは 2,000 ドルで、大文字や特殊文字の数に関係なく、8 文字のすべてのパスワードを、NTLM 暗号化 (Windows が使用) を使用した場合、わずか 3.7 日で解読できるマシンを入手できます。サイトがパスワードの保存に MD5 暗号化を使用していた場合、すべての 8 文字のパスワードを解読するには 8 日かかります。 SHA1 暗号化 (大規模な漏洩の際に LinkedIn が保存したパスワードに使用されたもののような) の場合、その安価なマシンで 24 日ですべてのパスワードを解読できます。 パスワード クラッカーがより高性能なマシンにアクセスできれば、その時間は大幅に短縮される可能性があります。

言い換えれば、LinkedInがパスワードに関してどんなルールを設けていたとしても、あの大規模漏洩の際に8文字のパスワードを使っていたなら、今頃どこかにいるクラッカーがそれを知っているはずです。しかも、それはあなたが難しい方法でパスワードを解読した場合の話です。

実際には、ほとんどの人は意識的か無意識的かを問わず、パスワードを作成する際に特定のパターンに従っています。レッドマン氏は以下のパスワードを例として挙げています。

Austin1!, Sports9?, Hiphop4$, Camels2%

これらはどれも、一般の人にとってはかなり現実的なパスワードのように思えます。覚えやすい興味のある単語や単語を含み、大文字で始まり、ウェブサイトのパスワード要件を満たすために数字と特殊文字が追加されています。

しかし、これら4つのパスワードはすべて特定のパターンに従っています。大文字1文字、小文字5文字、数字1文字、特殊文字1文字です。クラッカーはこのようなパターンを利用することで、暗号化されたパスワードの推測にかかる時間を大幅に短縮できます。パスワードクラッキングアプリを使えば、2,000ドルと8日間かかっていたパスワードを、はるかに短い時間で解読できます。

パスワードの要件を長くしても必ずしも状況が改善されるわけではないのも、このためです。エンドユーザーが8文字ではなく12文字のパスワードを入力しなければならない場合、おそらく「Mississippi9」のような、単に基本単語が長くなるだけで、予測可能なパターンに従ったパスワードを使用するでしょう。

複雑なパスワードが本質的に悪いとか、あなたのせいだと言っているわけではありません。あなたが利用するウェブサイトのほとんどは、パスワードの複雑さについて適切な説明をしていません。問題は私たち自身にあります。私たちが確実に覚えられるパスワードであれば、プロのパスワードクラッカーなら解読できるはずです。唯一安全なパスワードは、あなたが覚えられないパスワードなのです。

自分を守るためにできること

レッドマン氏の講演は、セキュリティ専門家とウェブ管理者を対象としています。上記の動画の内容の一部は、宿命論的で制御不能に思えるかもしれません（実際、そうなのです）。幸いなことに、自分自身を守るためにできることがいくつかあります。

• 複数のサイトで同じパスワードを使い回さないでください。これはいくら強調しても足りません。たとえ完全にランダムな100文字のパスワードであっても、複数のサイトで使い回していたら意味がありません。LinkedInでどんなパスワードを使っていたとしても、それはもう既に公開されています。プロのハッカーが1つのサイトであなたのパスワードを解読すれば、他のすべてのサイトでそのパスワードが使われてしまいます。常に、常に、常に 、すべてのサイトで異なるパスワードを使用してください。

• 覚えられないパスワードを使う（パスワードマネージャーを使用）：最も効果的なパスワードは、覚えられないほど複雑なパスワードです。パスワードマネージャーはまさにこの目的に最適です。パスワードマネージャーを入手し、覚えにくいランダムなパスワードを生成してアプリに保存しましょう。確かに、すべてのパスワードを1つのアプリに預けることになりますが、実際に使用するパスワードははるかに強力になります。自分に合ったパスワードマネージャーを見つけるには、当社のパスワードマネージャー比較をご覧ください。少なくとも、ChromeのSmart Lockは使用してください。

• パスワードを覚えておく必要がある場合は、パスフレーズを使いましょう。覚えやすいパスワードを使用しなければならない場合もあります。その場合は、可能であればパスフレーズを使いましょう。奇妙なルールの短いパスワードを作るよりも、パスフレーズは長いフレーズ、あるいは文章です。パスフレーズは覚えやすく、多くのパスワードクラッカーを欺くのに十分な長さです。少なくとも、あなたを諦めて他の誰かに攻撃を仕掛けるほどの長さです。

• 2段階認証をすべてのサイトで有効にしましょう。2段階認証では、ログイン時にパスワードに加えて、テキストメッセージやスマートフォンで生成されたコードなどの2つ目の要素が必要になります。すべてのサイトで有効にしましょう。理想的には、ほとんどのサイトでこれを必須にすべきですが、現時点では任意です。少し面倒ですが、パスワードが破られた場合、アカウントを守ることができます。

セキュリティ基準が不十分なサイトには、不満を表明することもできます。二要素認証に対応していない、パスワードの長さに制限を設けていない、パスワードを紛失した場合に平文でメールで送られてくるといった対応をしている場合は、サポートにメールで連絡し、そのような対応は受け入れ難いことを伝えましょう。企業は、ユーザーの要望やコストを考慮しない限り、必ずしもユーザーのセキュリティにとって最善の策を講じるとは限りません。セキュリティ基準の低いサイトを利用している場合は、その旨を伝えましょう。そうすれば、改善されるでしょう。