何を言ってるんだ?当たり前じゃない?と思う方がいると思いますが、思わぬ形でパスワードがわかってしまうことがありますよ、という話。もう時効だと思うので、記事にしてみようかなと。
2013年の3月に遡ります。事の発端はとあるGigazineの記事でした。
各ブラウザからパスワードを抜き出すフリーソフト「WebBrowserPassView」
この記事にパスワードをモザイク処理した画像が乗っていました。(現在パスワードは変更済みです)具体的にはWindows標準のnotepadでパスワードのリストを表示させたものでした。
これを見て、もしかしたらパスワードわかるんじゃない?と。
理由としては、確か、
・フォントがMSゴシックだとわかる
・フォントサイズが12ptなのでビットマップフォントになっている
・モザイクが小さく、綺麗に処理されている
だったからだと思います。
で簡単なスクリプト(総当りで文字を書いてモザイク処理して一致率が一番高いやつを選択を繰り返し)を走らせて見たところ、完全に一致するものが出てきました。どうせテスト用のパスワードだろうと、試しにTwitterにログインしてみようとしたらログインできてしまい唖然。とりあえずGigazineの方に報告して、数日後に無事パスワードが変更されたようです。
当時のツイート
今回の一件でモザイクというものは一見安全なものに見えるけど、デジタルなものそれも文字の種類が限られるパスワードなどの場合は、モザイクの濃淡から固有の一つの文字に絞られて解析されてしまうという怖さがあるというのが分かった。モザイクじゃなくて黒で塗りつぶすのが一番じゃないのかな。
— rndom (@rndomhack) 2013, 3月 27
webにアップしたその時から!あなたのパスワードはフリー素材!
— rndom (@rndomhack) 2013, 3月 27
いくらセキュリティを強化していても、思わぬ形で自ら公開してしまっている可能性があるかもしれません。ということで、モザイク処理をしていたとしても、実際のパスワードをインターネットに公開するのは危険だよって話でした。