ここから本文です

パスワードをどれだけ複雑化しても無意味!? 一日も早く生体認証を用いる「WebAuthn」が普及してほしい!

3/13(水) 11:05配信

FINDERS

意味不明の文字列に見えて、実は覚えやすい文字列

攻撃者から類推されてしまうパスワードでは危ないということで考案されたのが、意味不明の文字列に見えて、実は覚えやすいパスワードだ。例えば、アルファベットと「かな」が併記された日本語キーボードを使って、英文入力モードで日本語の単語を入力し、意味不明の文字列を作るという方法だ。

先日も、「ji32k7au4a83」というパスワードが、メールアドレスを入力するとデータ漏洩の有無をチェックできるサイトとして知られる「Have I Been Pwned(HIBP)」で頻繁に見られる人気パスワードとして話題となったが、実はこの一見ランダムに見える文字列も同様の方法を用いたもの。中国語(マンダリン)キーボードを使い、英文入力モードで中国語の「私のパスワード」と打っている。

どの国でも考えることは同じというわけだ。パスワード作成の手法が広く知れ渡ってしまっては、安全性を確保することは難しいので、この方法も避けた方がいいだろう。

強度の高いランダムな文字列を自動生成すれば?

では、攻撃に対して強度の高い、ランダムな文字列を自動生成してくれるサービスやソフトウェアを使えばいいかというと、その方法にも弱点はある。

自動生成された桁数の多いランダムな文字列となると、1つでも覚えるのは難しい。それを利用するオンラインサービス毎に多数記憶する必要があるとなると、もはや不可能と言っていいレベルであろう。

だからといって、紙やスマホのメモ帳などに記録しておくと、盗み見や紛失の危険がある。十分な安全性を確保するためには、パスワードを暗号化して保管し、閲覧時にはマスターパスワードの入力が必要になる専用アプリを利用することをお勧めする。

複雑な8桁のパスワードも2時間半以内で突破可能

コンピュータによる暗号解読能力が急速に向上しつつあることも懸念されている。

米Webroot社の上級セキュリティアナリストRandy Abrams氏によれば、大文字、小文字、数字、記号を含む8文字で作成できるパスワードは約6,600兆個あるという(ただし、この数値にはパスワード登録時の制約、「6桁以上」などにより除外されるものも含まれる)。

もはや天文学的と言っていい数値だが、最新の処理能力の高いコンピュータを用いれば解読することは不可能ではない。

NVIDIAの最新GPUであるGeForce RTX2080Tiとオープンソースのパスワードクラッキングツール「hashcat」を組み合わせれば、8文字のWindowsパスワードを2時間半で突破できるという、ハッカーのTinker氏による報告もある。

パスワードに、強度の高いランダムな文字列を使用したとしても解読されてしまうのだから、もはやパスワードを用いた認証の仕組み自体が限界にきているのかもしれない。

2/3ページ

最終更新:3/13(水) 11:27
FINDERS

こんな記事も読まれています

あなたにおすすめの記事