パスワードセキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか? - GIGAZINE
「パスワードは長く、英数字を混ぜた方がいい」「他人に推測されないパスワードを作ることが重要」といった意見は広く受け入れられていますが、Microsoftの個人情報部門セキュリティ保護チームに勤務するアレックス・ヴァイネルト氏は、「パスワードについての言説は誇張されたものが多く、実際にはパスワードの長さや複雑さはそれほど重要ではない」と解説しています。
個人のパスワードが突破される攻撃として記事作成時点で知られている主な手法と、攻撃に対するパスワードの重要性は以下のようになっています。
◆1:Credential Stuffing攻撃→パスワードは重要ではない
Credential Stuffing攻撃とは、流出したアカウント情報を使ってさまざまなサービスに自動で不正アクセスするという攻撃手法。
◆2:フィッシング詐欺→パスワードは重要ではない
フィッシング詐欺は、企業などになりすましたメールを送信し、偽のWebページなどへ誘導してアカウント情報などをゲットするというもの。
◆3:マルウェアによるキーロギング→パスワードは重要ではない
キーロギングとは、キーボードを叩いた動作をソフトウェアあるいはハードウェアが記録することを指します。マルウェアの中にはこっそりとキーロギングを行い、第三者に送信するタイプのものもあります。
◆4:さまざまな手がかりからパスワードを突き止める→パスワードは重要ではない
たとえばパスワードを自分で覚えられない人が残したメモ、あるいは共有状態になっているファイルからパスワードを記したテキストを探したりといった手法
◆5:脅迫によるパスワード取得→パスワードは重要ではない
悪意のある人物が「パスワードを教えないと重要な秘密をバラすぞ」といった脅しをかけてくるケースはめったにありませんが、映画などフィクションの中ではたまに見るとヴァイネルト氏は指摘。この場合もパスワードそのものが重要ではありません。
◆6:パスワードスプレー攻撃→パスワードは少し重要
パスワードスプレー攻撃とは、大量のアカウントに対して「同一のよく使われているパスワード」を用いてログイン試行を行う攻撃手法のことです。「qwerty」「123456」「pass1234」といった単純なパスワードを使っている場合を除き、パスワードの複雑さはそれほど関係ないとのこと。
◆7:ブルートフォース攻撃→パスワードは少し重要
理論的にあり得るパターンを全て入力することでパスワードの突破を試みるブルートフォース攻撃は、よほど重要なターゲットでない限りほぼ遭遇しない攻撃手法です。総当たりでの突破を試みるという性質から、この場合に関してはパスワードが長い方がセキュリティ上有利といえます。
以上の攻撃パターンから、実際に起こりうる攻撃の多くではパスワードそのものの複雑性がそれほど重要ではないことがわかります。パスワードが重要といえるのは「パスワードスプレー攻撃」と「ブルートフォース攻撃」の2つですが、パスワードスプレー攻撃の場合は攻撃者が試すパスワードのパターンが非常に少ないとヴァイネルト氏は指摘。
反応
とはいえWordPressサイトを標的にしたブルートフォース攻撃はサイトの規模によらず未だに盛んなので、やはりパスワードの長さは気になってしまうな
リテラシーを高めるほうが大事っちゅうのはその通りやね。ほなね
あとついでに銀行とかのパスワードの変更を示唆してくるようなやつ。 アレいい加減やめさせてほしい。むしろセキュリティ低下するから。
ユニークで使い回しでなければいいのよ
7Payで「2段階認証」が今年のネット流行語に入りそうな勢いだったからなぁ。意識高まるのは良いことだと思うけど。
「セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか」のYahoo!検索(リアルタイム) - Twitter(ツイッター)をリアルタイム検索
