パスワードのメモをソルティングする以前に、どのようなパスワードを作るかは大事です。しかし、一般のPC個人ユーザーにとっては「パスワードを忘れてしまうこと」の方が大問題ですから、名前+生年月日のようなパターンはどうしても出て来てしまいます。「難しいパスワードを作れ」と言う以前に、一般ネットユーザーとしては「覚え易くて強度のあるパスワードの作り方はないのか?」という方が差し迫った問題かもしれません。
パスワードの話題が出たところですが、ちょうど昨日5月26日にパスワードクラッカーとして長年有名な「L0phtcrack」の新バージョン6が発表されました。最初のバージョンは1997年発表ですから、すでに12年あまりの歴史のあるアプリケーションということになってしまいました。L0phtcrackを開発したのはアメリカのボストンにあったハッカーグループ「L0pht Heavy Industries」ですが、これは後に@Stake社というセキュリティコンサルティング会社となり、最終的にはSymantec社に買収されました。実際には優秀なメンバーはじつはSymantec社による買収直前に辞めてしまっていて、独自にiSec Partners社などのセキュリティ企業を立ち上げて活躍しています。
この新バージョン発表に合わせて、http://www.l0phtcrack.com/にはL0phtcrackの解説ビデオがアップされていますが、この中でパスワードクラッカーがどのように解読を試みるかのヒントが少し触れられています。パスワードクラッカーには、人間がどのようにパスワードを作るかという傾向を分析したルールテーブルがあり、それを使って、まずはパスワードを前半と後半に分けてクラックしていきます。ということは、パスワードクラッカーの仕組みを知れば、ある程度の裏をかくことが出来るかもしれません。
よくあるパターンと言われているものは、文字が前+数字が後ろになっているものがあります:
abcd1234
abcde123
abcdef12
名前+生年月日などのようなパスワードはこのパターンにハマりますから、後半の末尾を数字と予測してクラックしていくと効率が上がりますね。また、名前の場合なら最初が大文字になっている場合が多いでしょう
Abcd1234
Abcde123
Abcdef12
ということは、後ろに数字を持って来たパスワードは弱いことになりますし、最初の文字を大文字にするのは効果が薄いわけです。しかし、だからといって、これを裏返して単純に数字を前に持って来るパターンの:
1234abcd
123abcde
12abcdef
にしても、これも予測し易いので同じ程度の強さしかないでしょう。
そこでの一手は、文字と数字を交互にする手法です。また大文字を途中に混ぜれば良くなるでしょう。
1a2B3c4D
aB1c2D3e
aB1cD2Ef
これを元にいじると、名前+生年月日でもある程度強度のあるパスワードが作れるかもしれません。例えば:
Mika 1129 → m1I1k29A
Kyoko 323 → kY3ok23O
Kiyosi 81 → kI8yO1sI
セキュリティ関係者から見ると、名前+生年月日を使うというだけで「セキュリティをダメにする」から論外という意見もあるかもしれませんが、「フツーの人々」が大多数のインターネットユーザーとなった現在では、「覚え易くて強度のあるパスワードの作り方」の手法はもっと研究されて一般的になる必要があるかもしれません。
パスワードの話題が出たところですが、ちょうど昨日5月26日にパスワードクラッカーとして長年有名な「L0phtcrack」の新バージョン6が発表されました。最初のバージョンは1997年発表ですから、すでに12年あまりの歴史のあるアプリケーションということになってしまいました。L0phtcrackを開発したのはアメリカのボストンにあったハッカーグループ「L0pht Heavy Industries」ですが、これは後に@Stake社というセキュリティコンサルティング会社となり、最終的にはSymantec社に買収されました。実際には優秀なメンバーはじつはSymantec社による買収直前に辞めてしまっていて、独自にiSec Partners社などのセキュリティ企業を立ち上げて活躍しています。
この新バージョン発表に合わせて、http://www.l0phtcrack.com/にはL0phtcrackの解説ビデオがアップされていますが、この中でパスワードクラッカーがどのように解読を試みるかのヒントが少し触れられています。パスワードクラッカーには、人間がどのようにパスワードを作るかという傾向を分析したルールテーブルがあり、それを使って、まずはパスワードを前半と後半に分けてクラックしていきます。ということは、パスワードクラッカーの仕組みを知れば、ある程度の裏をかくことが出来るかもしれません。
よくあるパターンと言われているものは、文字が前+数字が後ろになっているものがあります:
abcd1234
abcde123
abcdef12
名前+生年月日などのようなパスワードはこのパターンにハマりますから、後半の末尾を数字と予測してクラックしていくと効率が上がりますね。また、名前の場合なら最初が大文字になっている場合が多いでしょう
Abcd1234
Abcde123
Abcdef12
ということは、後ろに数字を持って来たパスワードは弱いことになりますし、最初の文字を大文字にするのは効果が薄いわけです。しかし、だからといって、これを裏返して単純に数字を前に持って来るパターンの:
1234abcd
123abcde
12abcdef
にしても、これも予測し易いので同じ程度の強さしかないでしょう。
そこでの一手は、文字と数字を交互にする手法です。また大文字を途中に混ぜれば良くなるでしょう。
1a2B3c4D
aB1c2D3e
aB1cD2Ef
これを元にいじると、名前+生年月日でもある程度強度のあるパスワードが作れるかもしれません。例えば:
Mika 1129 → m1I1k29A
Kyoko 323 → kY3ok23O
Kiyosi 81 → kI8yO1sI
セキュリティ関係者から見ると、名前+生年月日を使うというだけで「セキュリティをダメにする」から論外という意見もあるかもしれませんが、「フツーの人々」が大多数のインターネットユーザーとなった現在では、「覚え易くて強度のあるパスワードの作り方」の手法はもっと研究されて一般的になる必要があるかもしれません。