半径300メートルのIT：漏えいパスワードのリストを見て分かった“強いパスワード”の作り方 (1/2)

「l」を「1」にする、頭を大文字にする――といった“昔ながらの強いパスワード作りの常識”が通用しなくなった今、私たちはどうやって強いパスワードを作ればいいのでしょうか。

　ITが欠かせない時代を生きる私たちにとって「パスワード」は、いつまでたっても解決しない面倒な問題。でも、だからといって諦めたらそこで終わりです。そんなわけで今回は、パスワードの現状を知ってもらうことで、この問題を“自分ごと”にしてもらおうと思います。

そのパスワード、「pwned」ですか？

　まずは、悪意がある人がIDを手に入れたとき、パスワードをどうやって推測するかを考えてみましょう。私なら「簡単なパスワードのリスト」や、「既に漏えいしたパスワードのリスト」を使って、次から次へと入力を試すでしょう。「複雑なパスワードを付けましょう」「使い回しをやめましょう」というのは、こうした“素人考えでも出てくる攻撃”を防ぐという意味があります。

　ここで、ちょっと面白いWebサイトを紹介しましょう。セキュリティ研究者のトロイ・ハント氏が立ち上げた「Have I Been Pwned」です。これまで漏えいしたID／パスワードのリストからあなたのメールアドレスが対象になっていないか、そしてパスワードそのものがリスト内に存在するかを調べてくれるサービスです。

　試しに自分のメールアドレスを入れてみたところ、見事に「pwned」と表示されました。このpwnedという言葉はハッカーのスラングで「owend」、つまり、「奪われた、盗まれた」ということを指します。私のメールアドレスは、2012年に漏えいしたDropbox、2013年のAdobe Systemsをはじめ、bit.ly、last.fm、LinkedIn、MySpace、tumblrなどの漏えいリストに含まれていたようです。

　このサイトでは、「漏えいしたパスワードそのもの」もチェックできます。自分のパスワードを入力すると、それが過去に漏えいしたパスワードリストに含まれるかどうかを調べられるのです（ただしリスクはゼロではないので、皆さんは今使っているパスワードを絶対に入力しないでください）。

• Have I Been Pwned: Pwned Passwords

　既に漏れたパスワードのリストは、悪意がある人なら、「これを元にログインを試行すればいいのでは？」と思うはず。そこで、ちょっとだけ試してみました。

そのパスワード、誰かが使ってない？

　今回試そうと思ったのは、パスワードの文字列がいかに「ありふれているか」をチェックするためです。2014年に本連載で「ある文字列の一部を記号に変える」ことをベースにした強いパスワードの作り方を紹介しましたが、これがいまでも通用するのかどうか試してみようというわけです。

　まずは、たまたま目に入った「calendar」という言葉をパスワードにしてみましょう。Have I Been Pwned: Pwned Passwordsのサイトに入力すると……

Oh no ? pwned!

This password has been seen 5,752 times before

　と、5752のIDで使われていることが分かります。このような単純な言葉では、もはやパスワードの役割を果たしていないということですね。

　では、先頭を大文字にした「Calendar」ではどうでしょうか。

Oh no ? pwned!

This password has been seen 212 times before

　212という数をどう見るかは難しいところですが、ここでは「0ではない」と考えてください。つまり、1つでも過去に使われていれば、悪意ある人が辞書に追加できてしまうので、パスワードとしてはアウトです。

　もうちょっと工夫してみましょう。「l」を「1」にする定番のパスワード「ca1endar」にしてみたらどうでしょう。

Oh no ? pwned!

This password has been seen 48 times before

　これも使われていますね。文字を記号に置き換えた「c@lendar」ならば……

Oh no ? pwned!

This password has been seen 1 time before

　使われています。大文字を含んだ「C@lendar」にしても……

Oh no ? pwned!

This password has been seen 1 time before

　これも使われており、なかなか0件になりません。これらは既に「漏れたパスワード」であり、悪意がある人に渡ってしまった情報。一筋縄ではいきません。