英国のセキュリティ研究者が、Gawkerとrootkit.comに対するAnonymousグループのハッキングで公開されたパスワードデータを分析し、両サイトのアカウントを持つ多くのユーザーがログイン認証情報として同じパスワードを使用していたことを発見した。
実際、この問題に関する以前の調査と比較すると、データはパスワードを再利用する人が増えていることを示唆しています。
異なる Web サイトでのパスワードの再利用は、ハッカーが 1 つのサイトをクラックするだけで、その個人が使用する他のサイトにアクセスできるため、リスクを伴います。
多くのウェブサイトでは、ユーザーにメールアドレスでのログインを求めているため、パスワードの使い回しはさらに深刻な問題となります。これは、複数のサイトで同じユーザー名が使用されることを意味するためです。多くの場合、メールアドレスは機密情報ではありません。
研究者ジョセフ・ボノー氏はデータを分析した結果、Gawkerとrootkit.comの両方で456件の正規のメールアドレスが重複していることを発見しました。パスワードはすべてハッシュ化(つまり暗号化)されており、解読は事実上不可能ですが、ボノー氏はレインボーテーブルを用いてGawkerのパスワードの54%、rootkit.comのパスワードの44%を解明しました。レインボーテーブルとは、ハッシュ化されたパスワードとそのプレーンテキスト版を併記した大規模な検索データベースです。
ソルト化と呼ばれるプロセスにより、レインボー テーブル攻撃によるパスワードの解読がはるかに困難になりますが、rootkit.com のパスワードにはソルト化がされておらず、Gawker のパスワードにも最小限のソルト化しか施されていませんでした。
ボノー氏は、新たなデータを入手し、両サイトで照合できたユーザーの49%がログイン認証に同じパスワードを使用していたことを発見した。そのうち6%は、大文字と小文字の区別を変えたり、小さな接尾辞を追加したりすることでパスワードを異なっていた(つまり、「password」と「password1」のように)。
過去の調査では、パスワードの再利用率は12~20%であることが示されており、Webユーザーの怠惰化が示唆されています。しかし、データソースが限られているため、この種の調査を実施するのは非常に困難です。クラッキングのためにパスワードデータを公開する組織は存在せず、ましてやパスワードで重要なデータを保護している組織(銀行など、パスワードの再利用が特に重要となる組織)では、そのようなことはまずありません。
ボノー氏は、再利用率が50パーセント近くあることが事実であれば、レインボーテーブル検索はサイバー犯罪者にとって時間とリソースの有益な利用方法となり、新たな攻撃の道を開く可能性があると述べている。
では、このような混乱に巻き込まれないようにするにはどうすればいいでしょうか?まず、ウェブサイトにアクセスするたびに異なるユーザー名を使用するようにしてください。もし、メールアドレスをユーザー名として使用しているサイトがある場合は、関係機関に連絡して、セキュリティ上の問題が発生する可能性があることを伝えてください。
次に、おそらくこれは明白なことですが、アクセスするサイトごとに異なるパスワードを使いましょう。つまり、多くのパスワードを覚える必要があるということですが、これを回避する方法や、質の高いパスワードを生成する方法があります。
一つの方法は、パスワードを複数の単語で構成されたパスフレーズに変更することです。これは、ウェブサイトで時々提案される「H4@vNS!3」のような意味不明なパスワードよりも長く、覚えやすくなります。ただし、パスフレーズに一般的な引用符を使用することは避けてください。
パスフレーズを頭の中でイメージすると、覚えやすくなります。例えば、「オレンジはバナナを食べるが、ビーチでのみ」というパスフレーズは、少し不気味に思えるかもしれませんが、簡単に頭の中でイメージできます。そのイメージをサイト名と結びつけてみましょう。PCWorldなら、「私のPCは地球と同じくらい大きい」のようなパスフレーズが考えられます。
あるいは、最後の単語を除く各単語の最初の文字を取って、パスフレーズをニーモニックにすることもできます(パスワードを長くするため)。数字や記号、そして一部の固有名詞(つまり大文字の単語)を使える場合、この方法が最も効果的です。例えば、「3 dollar Seville oranges eat 9 bananas in Tahoe」は「3$Soe9biTahoe」になります。
個人的な意見ですが、ユーザー名とパスワードを書き留めて財布に入れて持ち歩くことに何の抵抗もありません。確かに、紙切れを紛失した場合のセキュリティリスクはありますが、パスワードと一緒にウェブサイトのアドレスを記載するのは避け、どこでどのパスワードが使われているかは自分の記憶に頼るようにしています。しかし、同じパスワードを複数のサイトで使い回すよりはリスクははるかに低いでしょう。結局のところ、人間は間違いを犯す生き物ですから、完璧なセキュリティなどあり得ません。私たちにできるのは最善を尽くすことだけです。
Bonneau 氏の研究はブログ投稿でご覧いただけます。
Keir Thomasは、前世紀からコンピューティングに関する独自の見解を発表しており、近年ではベストセラー書籍を数冊執筆しています。詳しくはhttp://keirthomas.comをご覧ください。Twitterのフィードは@keirthomasです。
