メールはもちろん、オンラインバンキングやネットショッピングに至るまで、IDとパスワードさえあれば、何でもできるこのご時勢。しかし、アナタのIDとパスワードがあれば、誰でもアナタに「なりすまし」て、何でもできてしまうという恐ろしいリスクがあることを忘れてはいけませんね。
そこでこちらでは、セキュリティ対策には、まず「ハッキング」という敵を知ることから...ということで、「パスワードはどうやってハッキングされるのか?」について、見ていくことにしましょう。
米ウェブベンチャー「iFusion Labs」のCEOである、John Pozadzidesさんは、パスワードをハッキングする手順や発想などについて、以下のように述べています。
「ありがちなパスワードトップ10」は以下のとおり。全体の20%は、これらでカバーされると考えられる。
- 「0」もしくは「1」に続けて、配偶者、子ども、またはペットの名前
- ソーシャルセキュリティーナンバー(米国の社会保障番号)の下4ケタ
- 「123」、「1234」、または「123456」
- 「password」
- 出身地の都市名、出身大学名、フットボールチームの名前
- 本人、配偶者もしくは子どもの誕生日
- 「god」
- 「letmein」
- 「money」
- 「love」
ハッカーたちは、個人情報を入手するため、様々なツールを開発している。自分の個人情報を安全に守れるか、漏洩してしまうかは、パスワード次第。皮肉なことに、このベストなセキュリティが軽視されているのが現状だ。
個人情報のアクセスで、最もシンプルな方法が「総当たり攻撃」。考えうるすべてのキーをリストアップし、片っ端から解読にトライする方法だ。Insecure.orgではこちらのページで、パスワード破りのためのフリーツールトップ10を挙げている。
では、実際にどのように個人のセキュリティを破るのだろうか?ロジックはこんな具合だ。
- おそらく多くのウェブサイトやウェブサービスで、同じパスワードを使っているだろう、と考える。
- 銀行やVPNでは、セキュリティ度の高いパスワードを設定しているだろうから、ここから侵入するのは避ける。
- 一方、オンライン掲示板やオンラインショッピングサイトなどでは、セキュリティをあまり気にしていないかもしれないので、ここから取り掛かる。
- 「Brutus」や『wwwhack』、「THC Hydra」などで、片っ端からログインIDとパスワードにトライする。
- ログインIDとパスワードのペアが見つかったら、ターゲットとなるサイトでテストする。
ただし、オンラインバンキングで利用している銀行やログインIDのcookiesが、暗号化されずにそのままウェブブラウザのキャッシュに残っている可能性があることにも、注意が必要(このテーマについては、こちらのブログ記事も参照のこと)。
ハッキングの時間は、パスワードの長さと複雑さ、ハッカーのコンピュータ速度、ハッカーのインターネットの接続速度によって異なる。
以下の表で一目瞭然のとおり、小文字のみのものと、全ての文字種を使ったもの(大文字、小文字、@#$%^&*といった特殊文字)とでは、セキュリティ強度は大きく異なる。小文字のうちの1つを大文字に代える、アスタリスクを1つ加えるといっただけで、パスワード破りに必要な時間は、ぐっと長くなるのだ。また、辞書に載っている語は使わないのも鉄則。1000倍も速く破られてしまう。
設定したパスワードは、記憶しておく必要がある。他人からは推測されず、一般的な語や語句を使わずに、記憶しやすいパスワードにするコツとしては、以下のようなものが挙げられる。
- 「o(オー)」の代わりに「0(ゼロ)」を使うなど、文字と似た数字を使う。(例: modelTfordを「m0d3ltf0rd」)
- 小文字のいくつかを大文字に代える。(例: Mod3lTF0rd)
- 子どもの頃に好きだったものを考える(ただし人の名前は避けること)。
- お気に入りの場所、クルマ、レストランなどを使う。
- パスワードを思いついたら、「Microsoft's password strength tester」などのツールで、セキュリティ度をチェックする。
くれぐれも、ユーザ名とパスワードは、全てにおいて違うものを設定すること。たくさんのパスワードを覚えるのは難しいので、パスワードマネジャーツールを活用するのも一法だ。個人的にオススメなのは、Windowsユーザ用の『Roboform』。全てのパスワードを暗号化フォーマットで保存し、マスターパスワードひとつで、全てのものにアクセスできる仕組みになっている(具体的な使い方は、こちらのページの動画も参照のこと)。Macユーザには、『1Password』がある。(ちなみに、『KeePass』や、ライフハッカーで紹介した「LastPass」も同様のツールです)
また、普段あまり気を使っていないパスワードが、実は重要な場合もある。たとえば「メールには見られて困るものは入っていないから...」と思っていても、このメールボックスから侵入され、オンラインバンキングなどの、重要なパスワードが盗まれたり、勝手に変更されたりすることもある。
いかがでしたか?
Johnさんによると、これはハッキング方法のごく一部とか。「ちょっと考えすぎなんじゃないの?」、「自分はたぶん、大丈夫だろう」とタカをくくらずに、現在利用しているパスワードのセキュリティ度を、ちょっと見直してみましょう。パスワード系の記事をまとめた「パスワードで『あ、あれ?』とならないための17選」もあわせて参考にしてみてください。
How I'd Hack Your Weak Passwords [One Man's Blog]
John Pozadzides(原文/訳:松岡由希子)