大文字・記号入れ変更…危険なパスワードを推奨した専門家が後悔

　パスワード・セキュリティ絡みの話をまとめ。＜パスワードの定期的な変更は安全ではなくむしろ危険？＞、＜実はダメだった！秘密の質問も安全ではないと言えてしまう理由＞、＜大小英字・数字・記号を全部入れろ…という方針も転換！＞、＜大文字・記号入れ変更…危険なパスワードを推奨した専門家が後悔＞などの話をまとめています。


【クイズ】アメリカ人の「好きな食べ物」の答えは20％が同じものでした。以下のうちどれでしょう？

(1)ハンバーガー
(2)ピザ
(3)BLT　(ベーコン・レタス・トマトのサンドイッチ)

2022/07/09追記：
●個人情報入りメモリ紛失の市が、パスワードの桁数を暴露し波紋　【NEW】


●個人情報入りメモリ紛失の市が、パスワードの桁数を暴露し波紋

2022/07/09追記：兵庫県尼崎市が、委託先の従業員が全市民46万人分の個人情報が入ったUSBメモリを紛失したとして謝罪。これはもちろん問題ではあるのですが、他の組織などでも個人情報の紛失はよくやらかしています。真に問題だったのは、USBメモリに使ったパスワードの桁数をバラしてしまったことでした。

　USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露　ネット騒然　「悪例として最高の手本」 - ITmedia NEWSでは、＜同市の記者会見がネットで波紋を呼んでいる。会見中、USBメモリに設定されたパスワードの桁数を職員が話してしまったからだ。Twitterでは「セキュリティの悪例として最高の手本」など批判が続出している＞と書いています。

　尼崎市の職員は「英数字～桁のパスワードを設定している。解読するのは難しいのかなと考えている」と記者会見で説明。どうも「尼崎市ではセキュリティのためにきちんと対策しており、解読されない」とアピールしたかった感じです。パソコンに詳しくない人も「何が悪いの？」とよくわからないかもしれません。

　ただ、これが大問題。パスワードを突破する際に文字列総当り…という初歩的な手法が使われることがあり、これはパスワードの桁数が多いと難しくなるのですが、桁数を指定してしまうと一気に試行回数が少なく済むようになってしまうためです。他の桁数は試す必要がありませんからね。

　なお、実際のところ、市職員が言った文字数なら、セキュリティが高いパスワードであることは間違いありません。意味のある言葉と数字を組み合わせていた場合は、やはり試行回数を減らせますが、長さとしては確かに十分。とはいえ、言わない方が良いことには変わりないため、基本的な知識がないんだと思われます。

　また、より根本的な問題だと思われるのは、パスワードの桁数を言ってしまう職員が代表して記者会見に出ていることからすると、尼崎市のセキュリティに関わる職員がそもそもセキュリティに全く詳しくない可能性があるということ。他の面でもセキュリティが甘い可能性があり、心配になってしまいますね…。


●パスワードの定期的な変更は安全ではなくむしろ危険？

2016/6/27：驚きました。【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ - INTERNET Watch(tks24　2016年6月27日 05:55)によると、世界的に注目されている文書である"NIST（米国国立標準技術研究所）の傘下部門であるCSD（Computer Security Division）が発行する"Special Publicationが、パスワードの定期的な変更を呼びかけすべきではないとしているそうです。

　なぜか？と言うと、パスワードの定期変更をしようとすると、多くの人が「Password1」といった具合に末尾に数字を追加するなど、規則性のある変更の仕方をしてしまうため、悪用しようという人にもその規則性が容易に推測できてしまうためだといいます。

　じゃあ、規則性のないパスワードの定期変更をすればいい…という話なのですけど、そういうお願いをしてもやらない人はやらないですし、実際、やろうとするとえらいたいへんなことに。人間は次々と変わるパスワードを覚えきれませんので、結果的に規則的にしてしまうようです。余計危険になるってこともありそうですね。


●実はダメだった！秘密の質問も安全ではないと言えてしまう理由

　また、併せて秘密の質問も使用するべきではないとしているとのこと。このセキュリティ対策も最近多用されていますから、非常に気になりました。ところが、残念ながら記事に理由は書かれていません。秘密の質問は何でダメなのでしょうね？

　気になって検索してみると、ログイン時の「秘密の質問」は超危険？悪用してアカウント乗っ取り多発！簡単な回避法とは | ビジネスジャーナル(2015.07.25)という記事が。日本で言う質問サイトでわかってしまうことが多いそうです！ この話も驚きですわ。

　秘密の質問は、さまざまなネットサービスにおいて、ログインする際のパスワードを忘れた場合に本人確認をする手段として用意されているものだ。一般的には、いくつかの質問リストから質問を選び、それに対する答えを入力する。用意されている質問は「ペットの名前」「嫌いな食べ物」というような身近なものが多い。

　問題となった事案では、「初めて観た映画のタイトルは？」「初めて飛行機で行った場所は？」「初めて遊びに行った海の名前は？」「十代の頃の親友の名前は？」などの質問が投げかけられ、それに答えた人のアカウントが乗っ取られるというものだ。ちなみに、これらはApple IDのパスワードを忘れた際に聞かれる秘密の質問だ。

●秘密の質問がちっとも秘密じゃない公開状態に！なぜ？

　上記はそれほどありそうにない例かもしれません。ただ、もっとありがちな例も出ていました。"自身のTwitterやFacebookなどで秘密の質問の答えを公開してしまっている"こともあるとのこと。過去にうっかり話してしまっているためです。

　さらに秘密の質問は他にも問題アリアリです。最初のクイズにしたように、当てずっぽうでもわかるものがあるのです。これが最も根本的な問題でしょうね。言われてみるまで気づかなかったんですけど、秘密の質問はそもそもの発想からして問題を抱えているものでした。

＜アメリカ人を対象としたグーグルの調査によると、「好きな食べ物」の答えは、1回で19.7％の確率で当たったそうだ。ちなみに、答えは「ピザ」だったという。韓国では10回トライすると「生まれた街」を39％、「好きな食べ物」を43％当てられるという＞


【クイズ】アメリカ人の「好きな食べ物」の答えは20％が同じものでした。以下のうちどれでしょう？

(1)ハンバーガー
(2)ピザ
(3)BLT　(ベーコン・レタス・トマトのサンドイッチ)

【答え】(2)ピザ


●そうは言ってもサイトが使用を強制してくる秘密の質問…対策は？

　今回問題視されたようなセキュリティ対策をしている企業はレベルの低い企業だと言っている人がいました。しかし、なんと世界のアップルもやらかしています。早く改めていかなくちゃいけないのですが、現実にはなかなか変わってこないのでしょう。

　記事では当面の対策として、語尾を加えるというやり方を紹介していました。例えば、「好きなくだもの」という質問に対する「みかん」との回答を「みかんカモしれない」とするもの。この「カモしれない」のように、自分だけの秘密の鍵をつくることで、他サービスで「母の旧姓」に対し「前田カモしれない」などと応用できるとされていました。

　ただ、この例見ちゃうとこれはこれで同じようなのが続出しそうですから、語尾ではなく頭につけるとか、単語や意味が通じない言葉をつけるとか自分なりに工夫した方が良いかもしれません。


●パスワードの定期的な変更は危険、総務省も方針転換してた

2018/04/05：もともと書いていたのは、アメリカ政府のものでしたが、日本の総務省も方針転換していた模様。総務省が「定期的に変えるのはかえって危険」だとして、注意喚起を始めたそうです。

　理由は「推測しやすい文字列になって不正アクセスのリスクが増す」というもので、当初の話と同じですね。代わりに複雑なパスワードを使い続けるよう呼びかけています。
(パスワード「頻繁に変更はＮＧ」　総務省が方針転換　　：日本経済新聞　2018/3/26 17:25より)

　一応以前から言っていたようなのですけど、総務省が「国民のための情報セキュリティサイト」から「定期的にパスワードを変更しましょう」という間違った推奨を消したのは3月1日というつい最近。どうも政府のサイトでも「定期的に変えるように」と「かえって危険」というのが、混在していたみたいですね。そりゃ国民は混乱しますわ、頼みますよ、ホント…。


●大小英字・数字・記号を全部入れろ…という方針も転換！

2018/08/30：インターネットの危険情報を取りまとめるセキュリティ組織であるJPCERTコーディネーションセンター（JPCERT/CC）は、推奨するパスワードの作り方を方針転換しました。過去の推奨パスワードの作り方と、現在のものは、それぞれ以下のようになっています。

過去「大小英字、数字、記号といった全文字種を組み合わせて、8文字以上のパスワードにする」
現在「パスワードを12文字以上にする」

　パスワードに記号は不要、JPCERT方針転換の理由 | 日経 xTECH（クロステック）(2018/08/27 05:00)によると、加えて、以下のような複雑な置き換えルールも推奨しなくなったようです。

＜「JPCERT+WW+STOP」という単語の組み合わせから、「冒頭の単語の先頭2文字を使い、次は記号を入れ、その次の単語は…」というルールで、「Jp+w2st0」のような、単独では意味が分からない文字列のパスワードを作る＞

　有料部分を読んでいないせいか、なぜ12文字以上にすると良いのか？という話はなし。ただ、コンピュータの性能上、12文字以上のパスワードであれば、打ち破られることは理論上ほとんどないと聞いたことがあるので、それで十分ということじゃないかと推測します。

　検索してみると同じJPCERTでは、以下のような説明をしていました。記号を入れるなどしても余裕で解析できるけど、12文字ならすごくコストがかかるといった説明ですね。「事実上不可能」とまでは書いていませんが、要するに複雑ではない12文字の方が複雑な8文字よりずっと良いということのようです。

＜8文字で英大小文字＋数字＋記号（94種0.6京通り）をすべて使っても、解読コストの視点から考えると安価なため、容易に解読が可能となりますが、記号を使わない12文字以上であれば英小文字＋数字だけ（36種473京通り）でも解読コストは高くなり、一定の強度を保てると推測できます＞
(STOP! パスワード使い回し!キャンペーン2018より)


●大文字・記号入れ変更…危険なパスワードを推奨した専門家が後悔

2019/10/09：1つ前の大文字や記号を入れて複雑にするという古い推奨パスワードに関連する記事を発見しました。パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める - GIGAZINE(2017年08月10日 10時45分)という記事です。

　アメリカ国立標準技術研究所の所長を務めたことのあるビル・バーさんは、2003年に発表された安全なパスワードを作るためのガイドラインに携わっていた人物。当時のガイドラインでは、「大文字と小文字を併用すること」「数字と記号を混ぜること」「定期的にパスワードを変更すること」などといった方法を推奨していました。

　しかし、これらの方法は当時の現状を調査した内容に基づいているものではなく、なんと「1980年に書かれた論文の内容をもとにしたものだった」という衝撃の事実が判明。進歩の早いこの世界からすると、13年前というのは衝撃的な古さでしょう。考えられないミスですね。

　記事では、あまり頻繁にパスワードを変更するのも良くないどころか、非効率的で、さらにはハッカーにパスワード変更のパターンを見抜かれてしまう危険すら生じるとありました。バーさんはWSJに対して「私がしてきたことの多くを、今は後悔しています」と語ったそうです。


【その他関連投稿】
　　■よくある危険なパスワードランキング welcomeで不正アクセス歓迎？
　　■会社のパソコン監視 フォレンジックでメール復元、不倫も発見
　　■アンチウイルスソフト、55％の攻撃を検知できず シマンテック幹部が発言
　　■アノニマスの日本へのサイバー攻撃、イルカ漁・捕鯨反対のため？ 成田空港と中部国際空港サイトがダウン
　　■大半がイスラム国と無関係、宣戦布告したアノニマスが停止のアカウント
　　■ネット・コンピュータ・ハイテクについての投稿まとめ