ロッキー山脈でキャンプをするなど、ラッダイト的な生活を送っていない限り、Gawkerがパスワードを漏洩し、Twitterスパムの洪水を引き起こした攻撃の被害に遭ったことはご存知でしょう。この事件の明るい点は、現実世界のパスワードを検証し、少しでも教訓を得る機会が得られたことです…しかし、期待しすぎないようにしましょう。
ウォール・ストリート・ジャーナルの分析のおかげで、公開されたGawkerのパスワードの中で最も人気があったのは、今もなお人気の「123456」であることがわかりました。本当にそうなんです。他にも「password」「passw0rd」「qwerty」などが人気です。これらの謎めいたパスワードを推測したり解読したりできる人は誰もいないでしょう。
これを警鐘、つまり、脆弱なパスワードの弱点を人々に警告し、皆がパスワードの使い方を変え、より良いパスワード管理方法を採用するよう促す、大音量の警鐘だと期待する人もいるかもしれません。しかし、もしそう期待するなら、あなたは失望することになるかもしれません。
この事件全体が少し既視感を覚えるなら、それはまさにその通りです。実際、RockYou.comへの侵入によって3000万件以上のパスワードが流出し、現実世界のパスワード使用状況を分析する機会が得られたのも、それから1年も経っていません。RockYou.comの事件で最も多く使われたパスワードは?ご想像の通り、「123456」です。
確かに、Gizmodoの記事にコメントできることは、銀行口座やメールアカウントにアクセスするのと同等ではありません。しかし、一見無害に見えるアカウントであっても、安全なパスワードを作成するために少なくとも多少の労力を費やす価値はあります。その後のTwitterスパムの集中攻撃からもわかるように、Gawkerユーザーの多くはTwitterアカウントも持っており、両方で同じパスワードを使用しています。
パスワード セキュリティのベスト プラクティスのマントラを繰り返す義務があります。
1. 自分の名前、生年月日、好きなスポーツチームなどの個人情報を使用しないでください。
2. 「123456」、「qwerty」、「asdfgh」などのキーボードシーケンスを使用しないでください。
3. 辞書に実際に載っている単語は使用しないでください。
4. 辞書に載っている単語を「password」の代わりに「passw0rd」のように、文字の置換が明らかな単語を使って、パスワードを巧妙に推測したり解読したりするのはやめましょう。そうすると、パスワードの推測や解読にかかる時間が5秒ではなく47秒になってしまいます。
5. 大文字と小文字、数字、感嘆符やアスタリスクなどの特殊文字を含む文字タイプを混在させて使用してください。
6. 複雑なパスワードを覚えやすくするパスフレーズを使いましょう。「password」の代わりに「安全なパスワードを作るのは大変だ」というフレーズを使うこともできますが、ルール5に従ってパスフレーズにしましょう。それぞれの単語の最初の文字を取って組み合わせると「iiapit@2cuwSP」になります。
Gawkerの仕事は、会員の生活を困難にし、厳格なパスワードポリシーを強制することではない。しかし、Gawkerのような組織は、より複雑なパスワードを要求することで、会員にとって有益なことであり、不適切なパスワード使用を最小限に抑えることができるだろう。
人々、特にGawkerのハッキングに直接影響を受けた人々が、今回の経験から学び、より良いパスワードセキュリティ対策を講じてくれることを願っています。しかし、歴史が示すように、それは難しいでしょう。また大規模な侵害が発生し、数千、数百万ものパスワードが漏洩する可能性があり、来年もまた同じような議論が交わされるでしょう。
はぁ。
