新着記事を読むなら!
その興味深い一文とは、
「どんなパスワードなら大丈夫なのか」という疑問に対して、「攻撃者はどのような手口でパスワードを破るのか」という観点で考えてみたいと思います。
というもの。
一体どういうことなのでしょうか? このコラムでは、これまでは強いパスワードの作り方として紹介され続けていた、「何らかの文字列の一部を記号や数字に置き換える」という手法がもはや不十分である、と指摘しています。つまり、「S」→「$」や「o」→「0」に置き換えるような方法は、攻撃者からも容易に想像が付くため、パスワードを強くするための工夫にはならないのです。私も昔、そのようなパスワードの作成方法を紹介したことがありますが、パスワードの世界も日進月歩で変化しています。ひと昔前の常識は、もはや通用しなくなっていたのです。
最近では、数字や記号などを組み合わせるより「長いパスワードが強い」とされています。例えば、3、4つの「単語」をつなげるという、パスフレーズ的なものが推奨されています。例えば「client-flipper-liar」というようなものですね。
こうしたパスワードは一見単純ですが、「攻撃者から見た突き止めにくさ」という点で、その強度は確かです。ある米国の企業は、地球を3メートル四方のブロックに区切り、それぞれに3つの単語を割り当てる「what3words」というサービスを出しました。例えばアイティメディアのあるビルの入り口は「///くろず・ゆびきり・わたぐも」と表現できます。
ここで私が何を言いたいかというと、このサービスが「3つの単語をランダムに持ってきて並べる」だけで、地球を約57兆個ものブロックに分け、その全てに名前を付けられることを証明したのです。つまり、任意の3単語のバリエーションは想像以上で、当てずっぽうでは推測できないことが分かりますよね。
ここまで説明した上で、「じゃ、それを使い回せば大丈夫じゃない?」と考えたそこのあなた! これから言う「使い回しを絶対にやめた方がいい理由」を胸に刻んでください。
Copyright © ITmedia, Inc. All Rights Reserved.