すべてのパスワードを撲滅すべき3億6000万の理由

Quincy Larson

Free Code Campの講師です。Free Code Campではコーディングの学習を、非営利活動を通じて支援しています。

この記事はFreeCodeCampからの翻訳転載です。配信元または著者の許可を得て配信しています。

360 million reasons to destroy all passwords (2016-06-03)
キャプチャux

こんな密度のログインプロセスを見つけたらやることは一つ、波動拳!

最近とあるハッカーによって、Myspaceから3億6000万件ものアカウント(メールアドレスとパスワード)のログイン情報が流出してしまいました。同様に、LinkedInから1億1700万、Tumblrからは6500万ものログイン情報が、流出してしまいました。しかも、流出したメールアドレスとパスワードの組み合わせは、他のサービスで多くのユーザーが使いまわしているものだとされています。

もし上記のサービスを使っているのなら、今すぐにでもこの記事を読むのをいったん止めて、パスワードを変えたほうがいいでしょう。そして、同じパスワードを使っている他のWebサイトがあれば、そのパスワードも変えましょう。

そのパスワードは本当に安全?

上記のように、使っているサービスすべてのパスワードを変えるというのは、とても面倒です。

例えばLastPassのようなパスワードマネージャーを使っているのなら、あなた自身のパスワードを記憶してくれますし、セキュリティの高いパスワードも生成してくれます。無作為抽出の文字、数字、および記号を使って、50文字の文字列を生成してくれるのです。

しかし、電話ごしでのパスワード利用や他の人のPCを使う時にはどうでしょうか。別のデバイス経由でLinkedInにログインするためにLastPassをインストールをしなければいけないのでしょうか。

そして何より実は、最近LastPassもハッキングを受けたのです。そう、セキュリティを売りにしている会社ですらハッキングを受けるのです。

世の中には2種類の会社があります。ハッキングを受ける会社と、ハッキングを受けていることを知りもしない会社です。 ―ジョン・チェンバース

パスワードの矛盾

それでは、パスワードマネージャーを使わない代わりに、本当に安全なパスワードを考えたとします。

記号、数字、さらに大文字まで用いたとしましょう。シフトキー使用が嫌いな人の数を考えれば莫大な効果があるでしょう。しかし、そうすると、今度は複雑な新しいパスワードを思い出せなくなってしまいます。思い出しやすい長文のパスワードを思いつくということは、まったく現実味がありません。

キャプチャux2

上の3コマ:一見難しい文字列は人間にとって難解なだけで、実は機械的には28ビットの解析対象でしかありません。
下の3コマ:4つの無作為に選んだ単語のパスワードは文字や記号の使い分けなどもなく、シンプルですが、人間にとってはいくらか覚えるのが容易で、機械的には解析するビット数が増えています。

上記に示したXKCD手法に見られるように、無作為に作られた言葉は思い出しにくく、打ち込むのも難しいというのがカーネギー・メロン大学の研究結果で明らかになりました。

数字、記号、そして大文字を組み合わせたら、思い出すのは難しいですね。思い出しやすいように、他のパスワードをポストイットにでも書き残して、モニターの縁に貼りつけておくのはどうでしょうか。そんなことは、現実的ではないですね。

ところで、より事態を悪化させるやり方もあります。それは、同じパスワードを複数のWebサイトで使用することです。そのうちのどれか一つがハッキングされてしまったら、ハッカーが同じパスワードを使って他のWebサイトに侵入することできてしまいます。

それでも、複数のパスワードを思い出すことは面倒なことですから、半数以上の人が複数のサイトで同じパスワードを使用しているのです。

パスワードは忘れるもの

実際、88%の人々は少なくとも一つのパスワードを忘れ、それをリセットするという、残念な目にあっています。以下にパスワードを忘れたときに何が起こるかを記しておきます。

  1. Webサイトにアクセスし、「パスワードを忘れた」ボタンをクリック、メールアドレスを入力します。
  2. メールを開封、送られたリンクをクリックします。
  3. リンクでサイトに戻ってログイン、その後パスワード要件を満たす新しいパスワードを考えます(サイト毎に要件は異なりますが)。

問題はメール?

少し考えてみればおわかりいただけることですが、パスワード自体が問題ではありません。問題なのは、アカウントに関連したメールアドレスにアクセスされることなのです。パスワードなしログインを使用するサイトも既に存在します。

なので、ちょっと考えてみましょう。もし、パスワードは知らなくてもメールアカウントへはアクセスできる者がいたとしたら、パスワードを必要とする意味などないのではないのではないでしょうか。

パスワードなしのログイン

そもそも使いにくいパスワードを作ることに悩むことなく、「パスワードを忘れた」ボタンを利用するだけでログインができたらどうでしょうか。以下にパスワードなしログインを行った際に何が起きるのかを記しておきます。

  1. Webサイトにいきメールアドレスを入力します。
  2. メールを開封、送られたリンクをクリックしてサイトに戻り、ログインします。

パスワードリセットとたいして変わらないセキュリティレベルですが、新しいパスワード考える数分を節約できます。そして、他の主要サイトがハッキングされていても、そのパスワードを変更する必要もないですね。

メールに潜む危険性

しつこいようですが、誰かが自分のメールアカウントにアクセス可能になることこそ、アカウントに侵入しうる唯一の方法なのです。もしそれを許すと、メールアカウント経由であなたの生活が丸見えになり、あらゆる他のアカウントにアクセス可能となってしまいます。

パスワードが必要な唯一のWebサイトとはメールのことなのです。生体認証や他のセキュリティの進歩でパスワードが必要なくなったとしても、それは同じことです。

パスワードは面倒くさいものです。我々は常日頃からパスワードを作り、思い出し、リセットすることに時間を費やしすぎなのです。そして皮肉なことに、そのパスワード自体は人そのものを守りません。むしろセキュリティを更に脆弱にするのです。

なぜWebサイトはパスワードを使うのか?

実のところ明確な理由はわかりません。単純に私たちは日常的にパスワードを使う機会が多く、その存在が感覚的に人々をより安心させるのでしょう。

メールの受信箱を開くよりはパスワードを使う方が速いのでしょうか。いいえ、違いますね。一つのパスワードをリセットする間にパスワードなしログインを10から20回は行うことができるでしょう。

パスワードを忘れないだろうという想定があるから、多くのWebサイトは利用者をログアウトしませんし、警鐘を鳴らし続けないのです。Facebookが最後にパスワード入力を促したのはいつでしたか?

マイクロソフトは最近、ありがちなすべてのパスワードを禁止すると言う声明を発表しました。2016年の今でも、「123456」、「password」、「starwars」、「ncc1701」などのありがちなパスワードが多く使われています。

すべてのパスワードを撲滅しましょう

Free Code Campはパスワードを排除しています。新しいデバイスで初めてサインインする場合、マジックリンクを送信するのみです。

弊社サイトはこの類で初めてのサイトではありません。サインアップ媒体としてメールアドレスを利用すると、それ以上のパスワードは必要ないという通知が出ます。

キャプチャux3

パスワードなど捨ててしまいましょう。そのほうがWeb業界におけるストレスは軽減しますし、すべてがより安全に保たれます。もしまだ迷っているのなら、まずはすべてのパスワードを変更してくるといいでしょう。

まとめ

最近だけでも、何億という単位のパスワードが流出しました。自分も被害を受けていないか、こちらのサイトで確認してみるといいでしょう。すべてのパスワードを変更してきたら、もう二度とパスワードをリセットしなくて済む世界と、そのパスワードを廃したことによってより安全になる世界のことを想像してみてください。

パスワード無しログインについてもっと読みたい方には、こちらの優れた記事をお勧めします。また、最近のハッキング事情についてはこちらも見ると良いでしょう。


イベント