スマホ無しでの生活は考えられないという人は多いでしょう。
そのスマホの便利さを支えているものの一つが、パスワードです。
メールやSNS、動画配信サイトなど、ネット上のサービスを利用する上で必ず必要になるのがパスワード。
これが無くては、日々のメールすらチェック出来ません。
そんなパスワードに関して、先月、アップル、グーグル、マイクロソフトといった大手IT企業が、指紋や顔の認証を使って、パスワード無しで各種サービスを利用できるシステムの構築を目指すと発表しました。
パスワードを管理する煩わしさから逃れられるのであれば大歓迎なのですが、果たしてどうなることやら。
今回は、そんなパスワードにまつわるお話です。
〈originally posted on June 15, 2022〉
1 290億円のパスワードを忘れた男
パスワードは大変重要なものですが、忘れてしまっても、他人に盗まれてさえいなければ、大抵の場合はオオゴトにはなりません。
多くのウェブサイトのログイン画面では、「パスワードを忘れた場合」というリンクが用意されており、メールアドレスさえ正確に登録していれば、パスワードを再設定することで問題は解決します。
しかし、場合によっては、パスワードが思い出せないことが、人生を左右する事態になるのです。
ドイツ人のプログラマーであるステファン・トーマスという男性は、2011年、仕事の報酬を、とある電子決済サービスを使いビットコイン7000枚で受け取りました。
彼は、すぐにそのお金を使うことはせず、ずっと放置。
報酬を受け取った当時、ビットコイン1枚の価値は数ドル程度でしたが、10年が経過し、その価値は爆上がり。
彼のビットコインは、総額で290億円の価値を持つに至ったのです。
悠々自適の生活が一生保証されたようなもの。
しかしここで、彼は深刻な局面にぶち当たりました。
電子決済サービスにアクセスするためのパスワードを忘れてしまったのです。
しかも、その決済サービスは、誤ったパスワードで10回ログインを試みると、永久にアクセス出来なくなるという仕組み。
チャンスはたったの10回。
10回失敗すれば、290億円が幻となります。
トーマスは、8回試みましたが、全て失敗。
残り2回となった時点で、彼は少し冷静になり、考えました。
一旦ここで止めよう、と。
この難局を打開できる妙案を思いつくまで、とりあえず放置することにしたのです。
とは言うものの、チャンスはあと2回だけ。
彼が大金を手にする日は、果たして来るのでしょうか……。
【スポンサーリンク】
2 「温度」でパスワードが盗まれる
パスワードの管理が重要である理由は、第三者にパスワードを盗まれないため。
しかし、いくら注意していても、バレるときはバレてしまうのがパスワードの厄介なところ。
パスワードを盗み取ろうとするハッカーたちの技術も、確実に進歩しています。
カリフォルニア大学で行われた研究によれば、パスワードを入力する際にキーボードを叩いた後、だいたい1分以内であれば、各キーの表面に残った「温度」によって、パスワードを知られてしまう可能性があるのだとか。
物体表面の温度が分かるサーマルカメラを使えば、他人がパスワードを入力した直後にキーボードの温度を調べることで、どのキーを押したかが分かるのです。
やり方さえ分かってしまえば、専門知識の無い素人であっても、いとも簡単にパスワードが判明します。
3 「音」でパスワードが盗まれる
キーボードの温度でパスワードを盗む方法は、理屈自体は単純でも、実際にやるのはなかなか難しいでしょう。
サーマルカメラという特殊なカメラが必要ですし、そんなカメラを構えてキーボードの前に突っ立っていたら、パスワードを盗んでますよ、と周りに知らせているようなもの。
しかし、これからご紹介する方法を使えば、周りに悟られることなく、パスワードを盗めます。
アメリカの南メソジスト大学での研究によると、キーボードを叩く「音」で、パスワードが盗めるそうです。
キーを叩いたときに発せられる音波をスマホを使って解析することで、どのキーを押したのかが予測できるのだとか。
予測の精度は40%程度ですが、候補となるパスワードの数を増やせば、その精度も上がっていくわけで、第三者にパスワードを盗まれる可能性は十分にあると言えるでしょう。
公共の場でパスワードを入力するのが躊躇われるほど怖い手段ですが、この方法にも弱点はあります。
それは、複数のスマホが必要で、なおかつ専門的な知識も要求されるということ。
よって、スマホさえあれば誰でも簡単に他人の入力するパスワードが分かるといったものではないのですが、それにしても、キーボードの音でさえ情報漏洩のきっかけになるというのは驚きです。
4 「8文字」以下のパスワードは、ほぼ意味無し
ウェブサイトで自分のアカウントを作る時、いちいちパスワードを考えるのが面倒だとか、ログイン時に入力するのが手間だとかいった理由で、短いパスワードしか使わないという人は少なくありません。
しかし、短いパスワードは、セキュリティ面に不安があります。
2022年の最新の研究によると、英数字と記号を混ぜた6文字のパスワードは、いかに複雑なものでも、ハッカーによって「一瞬」で破られるのだとか。
この事実は、7文字~8文字のパスワードであっても、英字または数字しか使われていなければ同じこと。
では、英数字や記号を混ぜた複雑な8文字ならどうか。
ネット上のサービスの中には、ユーザーのパスワードを最大8文字に固定しているところもあります。
しかし、アメリカのサイバーセキュリティ会社「ハイブ・システムズ」によれば、プロのハッカーなら40分もあれば、どんな8文字のパスワードも見つけだせるとのこと。
つまり、8文字以下のパスワードは、ハッカーたちにとってはパスワードとしての意味をなしていないということになります。
最大で8文字のパスワードしか設定できないようなウェブサイトの利用は、なるべくなら避けた方がいいでしょう。
そうなると、何文字なら安全なのかが気になります。
この点、超天才ハッカーでさえ絶対に破れないパスワードを設定したいという人は、18文字のものにすべきです。
英数字と記号からなる18文字のパスワードは、破られるまでに438兆年かかります。
つまり、実質的に破られることはありません。
しかし、18文字というのはちょっと長過ぎて、管理する上で不便極まりない。
そういう人にオススメなのは、英字(大文字・小文字)と数字からなる12文字のパスワード。
これなら、クラックするのに約200年かかります。
5 複雑なパスワードは不要?
ウェブ上でパスワードの設定を求められる際、必ず「アルファベット大文字・小文字、数字、記号を混ぜた複雑なもの」であることを要求されます。
ネットバンキングのサイトなどは特にそうです。
感覚的にも、なるべく複雑なパスワードの方が破られにくいという印象があります。
しかし、イギリスにある「ナショナル・サイバーセキュリティ・センター(NCSC)」のイアン・レヴィ博士によると、色んな種類の字を織り交ぜた複雑なパスワードにこだわる必要は全く無いとのこと。
複雑なパスワードの代わりに、ランダムな英単語3つをつなげただけのパスワードで十分な安全性を得られるのだとか。
重要なのは、複雑さよりも「長さ」なのです。
もちろん、複雑なパスワードでも一向に構わないのですが、普段よく使うパスワードは覚えておきたいという人は、上記の方法でパスワードを作ってみるのもいいかも知れません。
6 パスワードをコピペさせないのは逆効果
ログインが必要なサイトでは、ログイン・パスワードをユーザーにコピー&ペーストさせないようにしているところがあります。
セキュリティ強化のためなのでしょうが、ログインの度にいちいちパスワードをキーボード入力せねばならないことに不便さを感じているユーザーは多いことでしょう。
コピペ禁止にすることで本当にセキュリティ対策になっていればよいのですが、先程のNCSCによると、これは逆にセキュリティを低下させている危険があるのです。
その理由は、毎度毎度パスワードを打ち込むのが煩わしいため、簡単なパスワードを設定し、さらにそれを複数のサイトで使い回す人が増えるから。
ログイン時にパスワードをコピペできないとなると、我々はどうしても短いパスワードを設定しがちです。
しかし、短いパスワードはすぐにクラックされてしまうのは先述のとおり。
よって、ログイン画面では、IDもパスワードもコピペできるようにしておく方がセキュリティの面では望ましいのです。
要するに、コピペ禁止はもはや時代遅れ。
こういった認識は企業の間でも浸透してきているようで、最近では、大手ネットバンキングのサイトであっても、パスワードのコピペを禁止しているところはほとんど見かけなくなりました。
僕の知る限りでは、ログイン画面でのコピペを今でも禁止しているのは、「DMMブックス」の専用アプリくらいです。
7 ブラウザにパスワードを保存するのは危険
新型コロナウイルスをきっかけにリモートワーク化が進みましたが、それに伴いパソコンでの作業が増えたため、以前よりも多くのパスワードを管理する必要性が高まりました。
その結果、ブラウザに各種パスワードを保存している人も増加。
いちいちパスワードを入力せずともログインできるのは大変便利ですが、実はこれ、けっこう危険な面があるのです。
2020年に登場したあるマルウェアは、ブラウザに保存されたパスワードを盗みだす機能を備えていました。
そのマルウェアに感染してしまうと、パスワードがごっそりブラウザから引き抜かれてしまうというわけ。
もちろん、ChromeやFirefoxといった有名なブラウザは、パスワードを盗まれないように対策はしていますが、ご承知のとおり、この手の問題はいたちごっこ。
特に重要なデータをやりとりするようなサイトでは、パスワードを保存しないようにするのもセキュリティ面では効果的でしょう。
8 アホなパスワードが好きなのは男か女か
この世で最もおバカなパスワードとは何か。
それは、「PASSWORD」です。
パスワードだからPASSWORD。
考えることをほとんど放棄しているに等しい、脆弱さMAXのパスワードです。
家の玄関口に、「鍵、開いてます」という張り紙をしているようなもの。
では、男と女では、どちらがこのおバカなパスワードを使う割合が高いのか。
これはある意味、男と女はどっちが馬鹿なのかということでもあります。
ここまで書けば、大抵の方は結論が見えていることでしょう。
はい、そうです。
男です。
アメリカのヒューストンに拠点を置くITコンサルティング企業が行ったリサーチによれば、男性は、女性に比べ、パスワードに「PASSWORD」という文字列を含める割合が、3倍も高いそうです。
9 方程式を解いてWiFiのパスワードをゲット
米国テキサス州サンアントニオのとあるレストランでは、ある条件をクリアすれば、店内でWiFiをタダで自由に利用することが出来ます。
その条件とは、方程式を解くこと。
店内の壁には、
「WiFi Password」
と書かれた張り紙があるのですが、しかしその下に記載されているのは、パスワードではなく、何やら複雑な方程式。
その方程式を解くと、答えがWiFiのパスワードになっているというわけ。
ただし、数学が相当に得意な人でも簡単には答えが出せないほどの難問だとか。
この店の店主、WiFiをタダで使わせる気があるのか無いのか……。
【スポンサーリンク】
10 パスワードから解放される日
数年前、マイクロソフトは、2021年にはすべての人がパスワードから解放されると予測していました。
ビル・ゲイツに至っては、今から20年近くも前に、パスワードを使ったセキュリティが消え去ることを予言。
しかしながら、現状を見ると、我々はまだ当分の間はパスワードのお世話になりそうです。
パスワードに代わるセキュリティ手段としては、指紋認証や顔認証などの「生体認証」が有名です。
ところが、これらも完璧なセキュリティを保証してはくれません。
例えば、指紋認証においては、指紋の画像データを第三者に盗まれると、セキュリティは一気に弱体化します。
実際、2015年にアメリカで、連邦政府の職員の個人データが大量に流出し、その中には指紋データも含まれていました。
当然、それらの指紋データを使えば、指紋認証は突破できます。
では、指紋や顔よりも安全な認証システムは無いのか。
その可能性の一つと見られているのが、「思考認証」です。
人間が何かを見たとき、それに対して脳がどのように反応するかというのは、人によって異なります。
同じような趣味・志向を持つ二人が、全く同じ画像を見せられても、脳の反応の仕方はそれぞれ異なるのです。
これを利用したのが、「ブレイン・パスワード」と呼ばれるもの。
利用者は、最初に複数の画像(動物や有名人の写真など)を見せられ、その際の脳波がデータベースに記録されます。
本人確認の認証を行う際には、同じ組み合わせの画像が提示されます。
脳波を読み取れるヘッドセットを装着した状態でその画像を見て、現れた脳波が、予め登録しておいた脳波と一致すれば、本人であると確認できるという仕組み。
仮に、データベースに保存されている脳波パターンが第三者によって盗まれても大丈夫。
前回とは異なる画像の組み合わせを使用して、「パスワード」となる脳波を改めて登録し直せるのです。
この点が、生体認証とは大きく違います。
指紋や顔を簡単に変えることなど不可能ですから、生体認証のデータベースに保存した情報が盗まれても、「パスワードの再設定」のようなことが出来ません。
ブレイン・パスワードは、現在のパスワードに代わる手段として、非常に強力なセキュリティを提供してくれますが、誰もが手軽に利用できる段階になっていないのが残念なところ。
将来的に、スマホで脳波が読み取れるような時代になれば、生体認証よりも信頼できる存在になるのは間違いないでしょう。
