Latest evidence-based health information
Vision

長いパスワードでもハッキング攻撃から逃れることはできない

長いパスワードでもハッキング攻撃から逃れることはできない
長いパスワードでもハッキング攻撃から逃れることはできない

数十文字のパスワードは、短いパスワードに比べて解読がはるかに困難であるため、ハッカーに対する自然な防御策となるはずです。しかし、もはやそうではありません。

Ars Technicaの報道によると、高速パスワードクラッキングソフトウェアocl-Hashcat-plusは、以前のバージョンでは15文字しかサポートされておらず、約55文字のパスワードを解読できるようになりました。Hashcatの主任開発者であるJens Steube氏は、ソフトウェアのリリースノートの中で、より長いパスワードのサポートは「これまでで最も要望の多かった機能の一つ」だと述べています。

ウェブサービスによってはセキュリティ対策が緩い場合があり、また、完全にハッキングされないサイトは存在しないため、パスワードが永遠に安全であるとは期待できません。それでも、評判の良いサイトのほとんどは、ユーザーのパスワードを「ハッシュ&ソルト」処理しています。これは、基本的に暗号化技術を使用し、個々のパスワードに他の固有の情報を追加するものです。これにより、ハッカーがパスワードを盗んだ後、実際のパスワードを割り出すことが難しくなりますが、クラッキングソフトウェアを使えば、ハッカーは大量の推測を矢継ぎ早に行い、最終的にハッシュ化されたパスワードを解読することができます。(例えば、Hashcatは1秒間に80億回の推測が可能です。)

クラッキングソフトウェアでは、脆弱なパスワードが最初に削除されます。なぜなら、ソフトウェアのアルゴリズムによって簡単に推測されてしまうからです。強力なパスワードは最後の防衛線であり、特に長いパスワードは推測が困難であることが証明されています。

しかし、Hashcatが証明しているように、長いパスワードを解読するのは以前ほど難しくありません。クラッカーたちは、より長いパスワードを解読するために、聖書の一節、本の引用、さらにはオンライン上の議論さえも辞書に追加し、一般的なフレーズに基づいたパスワードを発見する確率を高めています。

自分を守りましょう!

火

幸いなことに、Hashcatのようなパスワードクラッカーによる潜在的な被害を最小限に抑えるのは比較的簡単です。このツールは(比較的)簡単に暗号化を破りますが、ハッカーが解読するには、ハッシュ化されたパスワードが侵害されたウェブサイトから漏洩される必要があります。

ですから、どんなに長くて複雑でも、どのサイトでも同じパスワードを使い回さないよう、これを日課として覚えておきましょう。PCWorldのAlex Wawro氏が、手間をかけずに強固で破られにくいパスワードを作成するための優れたガイドを公開しています。あるいは、KeePassやLastPassなどのパスワード管理プログラムを使うこともできます。パスワードだけでなく、特に機密性の高いアカウントには二要素認証を設定しましょう。そして、絶対に「password」や「123456」を使うような人はやめましょう。

Otpoo

Health writer and researcher with expertise in evidence-based medicine and healthcare information.