#5902

脆弱文字列


デジモノ

さて、今日はこの世のすべてのwebサービスから、
脆弱性のあるパスワードをすべて抹消する作業をしていました。
自分が登録しているwebサービスは、執筆時点で213個あります。
そのうち50個は2009年以前に登録したもので、
1PasswordやKeePassといった管理ツールと出会う前だったのですべて覚えておく必要がありました。
そこで、パスワードの使い回しのようなことをしていました。
「使い回しのような」というのは、完全な使い回しではなく、
末尾のみ変えるといった最低限の工夫をいちおう含んでいます。役に立った試しはありませんが。

その50個のパスワードの大元になっているのが、2003年に考えたパスワードです。
2003年当時は、7桁もあれば十分と考えられていたので、パスワードは7桁で設定しました。
もちろん、誕生日など自分にゆかりのある情報からは絶対推測できないようになっていて、
それは中学時代当時の自分なりに工夫がされています。
なので、このブログを隅々まで解析したところで、このパスワードが判明することはありません。
そもそもこのブログは2004年開設なので、パスワードを作った当時のことは書いていません。

しかし、パスワードはいつの間にか作ってから17年が経過し、
2010年代後半には「パスワードは英数大文字小文字混在で8桁以上」が当たり前になり、
2020年現在、いつの間にか「8桁でも脆弱」と言われるようになってしまいました。
この17年でハッカーのマシンスペックも大いに向上しているので当然の話ではあります。
ちなみに大文字小文字数字のパスワードの組み合わせは、n桁のとき【62^n通り】となり、
6桁なら568億通り、8桁なら218兆通り、10桁なら83京通りとなります。
1桁増えるごとに組み合わせは膨大に増えていくわけですが、
8桁の218兆通りというのは、あるサイトによれば2時間で解析できてしまうそうです。
ところが、あと4桁増やすと総当たり攻撃に必要な時間は3000年になります。
(参考:HOW SECURE IS MY PASSOWORD?

ちなみに小文字だけの場合、もっとあっという間に突破されてしまいます。
上記参考サイトに適当な文字列を打ち込んでみると一目瞭然です。
とりあえず2020年時点でまあまあ安全と言えるパスワードは、12桁以上といったところでしょうか。
それも、当然大文字小文字数字混在は当たり前。できれば記号も入れたいくらい。
というか、前々から思ってるんですけどパスワードにUnicodeを活用すればいいのに、と思います。
Unicodeというのはマルチバイト文字、つまり日本語を含む文字を指します。
そうすれば、組み合わせは【62^n通り】どころではありません。
現時点で存在する文字だけで【137,929^n通り】となるので、
6桁だけでも実に688穣通り(1穣は10の28乗)となります。
日本語圏や中国語圏の人はよっぽどその方が覚えやすいし、メリットも大きいと思うんですけどね。

しかし今は日本語圏を含むwebサービスのほぼすべては英数で登録することになっているので、
これはもう桁数を増やすしかありません。
ということで、2009年以前に登録した50サイトに関してはパスワードを変更し、
20桁で登録できれば20桁、登録できなければ16桁で登録し直しておきました。
これでとりあえず、向こう20年くらいは大丈夫でしょう。

さらにこの度、1Passwordクラウド版に保存していたパスワードを完全に撤退しました。
1Passwordは従来、ローカルに128bitで強固に暗号化したファイルを作成し、
開くたびにマスターパスワードを入力して暗号化を解除しないといけないようになっていました。
ところがバージョン7からクラウドサービスが追加され、
手元にファイルがなくてもクラウドにパスワードを登録することができるようになりました。
しかしこれはよくよく考えてみれば危険です。
当然マスターパスワードも暗号化してクラウドに保存されているでしょうから、
万が一そこが突破されてしまうとあらゆるwebサービスが流出してしまうことになります。
1Password開発側もそれだけはさせないように手を打っているとは思いますが、
99.9999%信用できても、100%にはならないのが怖いところです。
ハッカーの手が伸びなくても、サーバールームが火事になったら終わりですし。

そこで、パスワードはローカルに保存することにしてしまえば、より安全です。
企業を挙げて守っている1Passwordのサーバーに比べれば個人のPCなんて脆いものですが、
この場合はそもそもマスターパスワードが自分の頭の中にしかないため、盗みようがありません。
マスターパスワードがなければ、盗んだファイルは解読不可能の暗号ファイルです。
まぁ、結局このファイルは同期のためにDropboxに入れているのでクラウドにもあるのですが、
それでも「手元にファイルがある」という安心感はなかなかのものです。
マスターパスワードとファイルが完全に隔離されているというのも大きいですね。

みなさんもパスワードの管理にはくれぐれも気を付けましょう。
webサイト管理をしている人なら分かると思いますが、
どんなにマイナーなサイトでも、ネット接続さえされているサイトならどこでも攻撃されています。
しかも、予想を遙かに上回る回数の攻撃を受けます。
このブログも毎日24時間体制でスパムブロックを行っています。
なので、セキュリティ防衛はとうてい他人事では済まされないのです。
「自分のアカウントが攻撃されるはずがない」と思っている人はかなり危ういと言えるでしょう。

0

コメントを残す