「あなたのパスワードは十分安全です」、本当なのか？ 英大学が研究：パスワードの強度を調べたいときどうする

英プリマス大学の研究により、有名Webサイトの一部で運用されているパスワードの強度判定サービスが「一貫性のない、誤解を招く」アドバイスをユーザーに提供していることが明らかになった。

[＠IT]

　英プリマス大学の研究チームは、パスワードの強度を測定してユーザーにアドバイスを提供する「パスワードメーター」の効果を比較、評価した研究結果を発表した。パスワードメーターとは、ユーザーがパスワードを新たに入力した際に、安全なのか危険なのかを診断してくれるサービスをいう。

　Verizonが2017年に発表した「Data Breach Investigations Report（データ侵害調査レポート）」では、ハッキング関連の侵害のうち81％は「盗まれたパスワードや脆弱（ぜいじゃく）なパスワードのいずれかまたは両方を利用した」という結論を出している。つまり弱いパスワードを使わないようにする取り組みが必要であり、パスワードメーターがきちんと機能するのか、そうでないのかを検証する必要がある。

　研究の結果、世界で最も使われているWebサイトの一部では、パスワードメーターが、「一貫性のない、誤解を招く」アドバイスを提供していることが明らかになった。

　プリマス大学情報セキュリティ教授で、セキュリティ／通信／ネットワーク研究センター長を務めるスティーブ・ファーネル氏が指揮した研究では、16の主要なパスワードメーターを対象とした（記事末に列記）。これらは主に、専用Webサイトでサービスとして提供されているものだが、一般的なオンラインサービス（「Dropbox」や「Reddit」など）に組み込まれているものや、Apple製品など一部のデバイスで標準提供されているものも取り上げている。

　一部のパスワードメーターは、ユーザーが安全なパスワードを利用できるよう効果的なアドバイスを提供する。だが、中には、ユーザーが「abc123」「qwertyuiop」（キーボードの2列目の文字を並べたもの）といった極めて危険なパスワードを使ったとしても、見過ごすものがあった。

パスワードメーターの機能は役立ったのか

　研究チームは、16のパスワードメーターを対象に16種類のパスワードを試した。パスワードのうち10種類は、世界で最もよく使われている部類に入るものだ（「password」や「123456」など）。

　これら10種類の明らかに弱いパスワードのうち、16のパスワードメーターが全て弱いパスワードと評価したものは、5件にとどまった。「Password1!」というパスワードは、本来受けるべき評価よりもはるかに高い評価を獲得した。これを強いパスワードと評価したパスワードメーターも3つあった。

　安心できる結果もあった。Webブラウザが自動生成した（研究の結果実際に強いと分かっている）パスワードは、どのパスワードメーターも強いと評価した。ユーザーはWebブラウザのこうした機能については、信頼できそうだ。

　ファーネル氏は、論文の結論部分で次のように述べている。

　「パスワードメーター自体は悪いアイデアではないが、適切なものを使う必要があるのは明らかだ（提供側にも努力が必要だ）。また、パスワードメーターがパスワードをどのように扱うかにかかわらず、多くのシステムやWebサイトは、実運用では弱いパスワードであっても受け入れてしまう。さらにユーザーに対して、より良いパスワードはどのようなものなのかといったアドバイスやフィードバックを提供していない。このことも覚えておいてほしい」

　「パスワードに取って代わる技術が注目を集めている。だが、現状では、ユーザーに対してパスワードを適切に使えるように支援する試みがほとんど、あるいは全く行われていないまま、パスワードが普及している。信頼できるパスワードメーターは、価値ある役割を果たし得るが、ユーザーを誤解させるパスワードメーターは、セキュリティを損ない、攻撃者にアドバンテージを与えてしまう」

どのパスワードをどのサイトで調べたのか

　今回の研究結果は、「Computer Fraud & Security」誌の2019年11月号に論文として掲載された。研究で用いた10種類のパスワードは次の通り。

• 「123456」「password」「iloveyou」「abc123」　複数の調査結果から最も危険なパスワードランキング15位以内に入ったもの
• 「liverpool」「blink182」「superman」　スポーツや音楽、キャラクターにちなんだもの
• 「Password1!」　大文字と小文字、数字、シンボル（LUDS）を全て含むものの、規則性が高く、危険なもの
• 「qwertyuiop」「1qazse4」「1qaw3edr5」　ランダムに見えるがキーボードのキー配列にちなんでいるもの

　ここまでのパスワード（「1qaw3edr5」を除く）は特に弱いパスワードであり、オフラインでは、2秒以内で探り当てられてしまう。

• 「TQBFJOTLD」　有名なフレーズの頭文字を取ったもの（The Quick Brown Fox Jumped Over The Lazy Dog.）

　研究では「1qaw3edr5」と「TQBFJOTLD」を比較的弱いパスワードとして扱っている。「1qaw3edr5」を探り当てるにはオフラインで10分、「TQBFJOTLD」は16時間かかった。

　以下の4つのパスワードを探り当てるにはオフラインで20時間以上を要した。最も強力だったのは「caczob-zoxpuw-9Seddi」で、計算上100年以上かかる。次に強力なのは「wretchgravelgeese」で、6年必要だという。

• 「caczob-zoxpuw-9Seddi」　Webブラウザ「Safari」が自動生成した強度が高いとされるもの
• 「park402/carl」　同様にmacOS Password Assistantが自動生成したもの
• 「donkeykansasburger」「wretchgravelgeese」　3つの無関係な英単語を単純につなげたもの。前者は単独で使うと弱いパスワードになる単語3つを用い、後者は単独で使ってもそれほど弱くはならない単語3つを使った

　研究対象とした16のパスワードメーターのリストは次の通り。サービスは大きく3種類に分かれる。第1にStrength TestやKasperskyのようにパスワードの強度だけを確認するもの、第2にAppleやDropboxのようにユーザーがWebのサービスを受けようとするときにパスワードの強度を知らせるもの、第3にmacOS Password AssistantのようにOS自体に組み込まれているものだ。

• Cryptool Online Password Meter（https://www.cryptool.org/en/cto-highlights/passwordmeter）
• How Secure Is My Password?（https://www.roboform.com/how-secure-is-my-password）
• Kaspersky Secure Password Check（https://password.kaspersky.com）
• LastPass（https://lastpass.com/howsecure.php）
• my1login（https://www.my1login.com/resources/password-strength-test/）
• Password Checker Online（http://password-checker.online-domain-tools.com）
• Password Strength Checker（https://smallseotools.com/password-strength-checker/）
• ProPrivacy Password Strength Checker（https://proprivacy.com/guides/password-strength-checker）
• Strength Test（http://rumkin.com/tools/password/passchk.php）
• The Password Meter（www.passwordmeter.com）
• Apple（https://appleid.apple.com/account）
• Dropbox（https://www.dropbox.com/login）
• MediaFire（https://www.mediafire.com/）
• Reddit（https://www.reddit.com）
• Twitch（https://www.twitch.tv）
• macOS Password Assistant

信頼できないサービス、信頼できるサービスはどれか