ブルース・シュナイアーさんの安全なパスワード文字列の作り方

前回は、サービスごとにユニークなパスワードを作る方法を提案しました。
今日一緒にランチを食べていた、元同僚からこんなことを教わりました。

「似たことを、ブルース・シュナイアーが言ってたよ」

ブルース・シュナイアー（Bruce Schneier、1963年1月15日 - ）は、アメリカ合衆国の暗号研究者、コンピュータのセキュリティ専門家、作家。BT Counterpaneのコンピュータセキュリティと暗号に関する著作があり、Counterpaneインターネットセキュリティ社^[1]の創設者であり、最高技術責任者（CTO）でもある

それはこちらのエントリでした。
興味深かったのでざっくりサマって見ます。
私の英語力は非常に残念なので、ミスがあったらぜひ教えて下さい。

Passwords / paul.orear

はじめに

一番良いパスワードは、それが壊れた言葉であることです。

と言うのは攻撃者はたいてい、辞書を使った推測攻撃を仕掛けます。
そしてその攻撃ツールは商用のものも存在します。

攻撃の効率は2つの要素によって決まります。コンピューターのパワーと、効率です。

凄く乱暴に辞書攻撃を解説すると、wearとかhelloworldとかそういう単語は、辞書に乗っているので攻撃されやすいということです。

コンピューターのパワー

1台のPCで、1秒間に8万回のパスワードの試行を行うことが出来ます。
ハッカーは複数台のPCを乗っ取って、何ヶ月もの間、パスワードの攻撃を仕掛けたりします。

自分も最新の同行を追いかけていたわけではないですし、一台のPCとはなんぞやというのはありますが、なんにせよ本当に早くなったなあという印象です。

効率

推測しやすいものから攻撃するということです。
8桁のパスワードの組み合わせは、2000億の組み合わせがあり得ます。
攻撃者がこれを生真面目に攻撃することはありません。

ある攻撃プログラムは、1000通りの一般的な文字列に対して攻撃した後、それに100通りの接尾語をつけて攻撃したそうです。
これによって、1/4のパスワードが攻撃できたそうです。

危険な言葉

英単語、氏名、外来語、音のパターン？（phonetic patterns)、so on for roots？、二桁の数字、一文字の記号、angelをange1とするような変換で安心すること

これらのパターンを使うことで、全体の2/3のパスワードは攻撃できるそうです。

専門家による解析

在る時、16000の暗号化されたパスワードファイルを3人の専門家が解析したそうです。
数時間の間で、勝者は92％を攻撃成功し、敗者は62％を攻撃成功しました。

人々が考えているよりもっと、これらの攻撃は速くなってきています。

シュナイアー スキーム

2008年にシュナイアーさんは以下の様な方法を提案しています。

個人的に印象深い文章から、アルゴリズムっぽいものを持って、パスワードを生成してみてはどうか？
例えば、頭にぱっと浮かんだ文章が以下だったとします。

This little piggy went to market

この場合、パスフレーズをなんとなくで以下のように設定します。

tlpWENT2m

This little piggy went to market

他に例を出してみると以下の様なものです。

WIw7,mstmsritt… = When I was seven, my sister threw my stuffed rabbit in the toilet.
Wow…doestcst = Wow, does that couch smell terrible.
Ltime@go-inag~faaa! = Long time ago in a galaxy not far away at all.
uTVM,TPw55:utvm,tpwstillsecure = Until this very moment, these passwords were still secure.

パスワードを忘れてしまっては元も子もありません。
元になる文章は、個人的なことで忘れ難いものであり、そこからどう生成するかも個人的なもので、覚えていられるものである必要があります。

ただこれを紹介しておいてなんですが、文中ではより良い方法としてパスワードマネージャーを使うことを推奨しています。
例として出ているのは、PasswordSafeですが、日本だと1Passwordとかが有名です。
Yubikeyとかと組み合わせると現時点では最強に思いますが、反面絶対無くしそうで怖いです。

その他

パスワードは再利用しないで下さい

あなたが安全なパスワードを作っても、サイトが安全じゃないかもしれません。

既に様々な場所から、IDとPASSのセットは漏洩が続いている状況です。
特にここ最近の不正ログインのプレスを見ていると、大抵が既に攻撃者がその組み合わせをわかった上で仕掛けていると発表しているように思います。

定期的にパスワードを変更しないで下さい

パスワードを変更することの害のほうが、効果よりも大きいです。

これは、私はとても共感します。
パスワード変更の際にみなさんも、以前のパスワードの末尾に1とかつけて、通してたりしませんか？

秘密の質問にご注意

上手く翻訳できなかったのです。
これはパスワードをしっかりした文字列を作っても、秘密の質問の答が母親の旧姓とかですと、ソッチのほうが攻撃しやすいよね、と言う話です。

二要素認証を提供しているサイトは、それを使って下さい

はい！

所感

シュナウアーさんの仰っていることは、真っ当だなあという印象です。
私の以前提案したやり方の、基本的な文字列の作り方のところで、自分としても取り入れていこうと思っています。
また、上記エントリの例文があまりにも適当過ぎたので、そこは修正を入れました。

1Passwordとかに乗り換えたら良い気もするのです。
ただ、結局1つ攻撃成功したら全部やられる状態がどうしても自分には健全に思えなくて（好き嫌いの問題だとは思います）まだまだ自分なりのやり方で頑張って生きていこうと思っている所存。