パスワードの知識の最近のブログ記事

そもそもパスワードとは何でしょう？

日本の時代劇で言えば、「合い言葉」
つまり、秘密の言葉を知っているか、知らないかで相手を信用するかどうかを判断する仕組みですね。

さて、みなさんは当然ながら常識として知っていることですが、おさらいの意味で少しだけ「合い言葉」の使い方を考えてみましょう。

－－－－－－－－－－－－－－－－－－－－－－－－－－－
＜例＞
あなたが、お城から出掛けて、任務をすませ帰ってたとき「合い言葉」によって城門をあけてもらう場合を考えてみましょう。

まず、あなたは外出する前に「合い言葉」記憶します。
当然ながら門番は「合い言葉」を記憶しています。

任務から戻ったあなたは、城門の外から「合い言葉」を言います。

その合い言葉が、門番の記憶している合い言葉と同じなら、門番は城門を開けてくれます。

－－－－－－－－－－－－－－－－－－－－－－－－－－－

ではここでチョット考えてみましょう

間者が、合い言葉を盗み出して、場内に侵入するにはどうしたらいいでしょうか？

いろいろな方法があると思いますが、まずは、「城外に出たあなたを捕まえて、拷問にかけて聞き出す」という方法があります。もし、あなたがメモで持っていれば、もっと簡単に盗み出せるでしょう。

もうひとつの方法は、城門の前で、あなたが喋る「合い言葉」を盗聴するという方法です。
この対策として、"お城から出掛ける度に、違う合い言葉を使う"という方法があります。

ざっくりした説明ですが、これの毎回違う合い言葉が、昨今のワンタイムパスワードです。

「合い言葉」の仕組みの第2回です。今回は門番の記憶力について考えてみます。

もし、「合い言葉」を共通のものにせずに、人によって別々に設定していたとしたら（現代のパスワードは当然ながら、個人個人で別々です）、門番はこれを記憶できるでしょうか？

はっきり言って無理です。
そこで、門番用の為に、全員分の「名前」と「合い言葉」一覧表作って、これを持たせることになるわけです。

さて、門番が居るのは城門の内側ですから、これによって間者に「合い言葉」を知られる心配はありませんでした。

門番用に、城内全員の名前と合い言葉の一覧表を作って運用するようになると、あらたな問題が発生しました。

それは、門番用の一覧表は、"城内に入った人であれば見ることができてしまう"という問題です。
つまり城内に入った人は、他の人の「合い言葉」を知ることができるだけでなく、これらをいつでも盗み見することができます。

そこで、現代のパスワードにおいては、この合い言葉一覧表には、暗号化されたパスワードを記載するようになっています。これによって、サーバにログインしている人が、他人のパスワードを盗み見してしまうことを防いできました。

合い言葉で説明したように、様々な問題から、サーバにユーザのログイン・パスワードを記憶するときには、パスワードの暗号化が行われます。
ただし、この時の暗号化は、皆さんがイメージする暗号とは少しだけ違っています。

＜皆さんのイメージする暗号＞

"元の言葉"　→【暗号化】→"読めない言葉"→【鍵で復号化（解読）】→"元の言葉"

＜パスワードの暗号＞

"元の言葉"　→【暗号化】→"読めない言葉"→二度と誰にも解読できない

みなさんのイメージする暗号とは、解読できる暗号だろうと思いますが、パスワードで使われる暗号は、"２度と誰にも解読できない暗号"なのです。

つまり、皆さんがサーバにパスワードを登録した時、サーバは、そのパスワードを二度と解読できない方式で暗号化し、記録しているのです。（正確には、そうしなければならないのです）

二度と誰にも解読できない暗号、そんなもの使いようがないじゃん！

そう思うかもしれませんが、パスワードの世界では、これがとっても役に立つのです。

1. あなたが自分のパスワードを決めて入力する
2. パスワードが解読されない暗号に暗号化されて、サーバに記録される
   この時点で、あなたのパスワードは、サーバ上にはありません。（ここが重要）
3. 次ぎに、あなたがログインをしようとする時、
   あなたが入力したパスワードを、再び解読されない暗号に変換します。
4. ここで、サーバ上にある「解読されない暗号」と、今、あなたのパスワードから再度作った「解読されない暗号」が同じなら、パスワードが一致したということになります。

この仕組みによって、サーバはユーザのパスワードを、誰にも知られない形で記録することができるわけです。

サーバ上のパスワードは、二度と誰にも解読されない形で記録されるというセキュリティ上の原則があるのですが、残念ながら、このルールを守っていないサイトが、インターネット上には多数存在しています。

みなさんの経験上、こんなことはありませんか？

＜ケース１＞
会員登録したら、登録確認メールにパスワードが記載されて、送られてきた！

こういうサイトは論外です。できる限り利用しない方がいいでしょう。

＜ケース２＞
「パスワードが分からなくなった方」の処理をしたら、メールでパスワードを教えてくれた。

この手のサイトは、あなたのパスワードが記録されています。また、システム設計者のセキュリティ知識レベルが低いため、誰にでも読まれてしまうメールという手段で、パスワードを通知してきます。
ウェブ上にパスワードを表示してくれるケースもあります。これはメールで通知してくるよりは、ましですが、パスワードを記録している危険サイトであることに違いはありません。

＜ケース３＞
パスワードを変更しようと、新しいパスワードを入力したら、以前のパスワードと５文字以上同じですと警告された

パスワードを二度と解読できない形で記録している場合には、同じか同じでないかの判断しかできないはずです。何文字同じです！という情報を出せるということは、パスワードを記録しています。ただし、古いパスワードを同時に入力させている場合は、この限りではありませんが。

インターネット上には、セキュリティ知識の高くない会社が作ったシステムが多数あり、このような問題に出会うことが多々あります。後に説明していきますが、自分の大切な（ネットバンキングなどの）パスワードを、このようなサイトに登録してしまわないように注意しましょう。

サーバに記録されているパスワードは、二度と解読できない形になっていますが、このことが、セキュリティ上の弱点となっていた部分があります。

二度と解読できない形で記録されているという安心がゆえに、この暗号化されたファイルの管理が、比較的ゆるいものになっていました。簡単に言えば、ユーザーであれば誰でも読めたわけです。

ハッカーが、この暗号化パスワードファイルを手に入れるべく、アタックしてきたのです。そしてハッカーは、いとも簡単に暗号化パスワードファイルを手にいれることができました。
そんな馬鹿な！と思うかもしれませんが、思い出してみてください。ほんの数年前まで、「パスワードをちゃんと付けましょう。IDと同じパスワードは止めましょう」なんてことがあちらこちらで言われてました。そうです、パスワードを付けない人たちが、世の中には沢山いるのです。
当研究所の５年前の調査では、４割のユーザーが、パスワードを付けないか、IDと同じパスワード（IDがp-secなら、パスワードもp-secというもの）を使っていました。１０００人いたら４００人が、こんなパスワードなわけです。ですから、ハッカーは、簡単にサーバーに入り、暗号化パスワードファイルを入手できたわけです。

さて、最近はどうかといいますと、パスワードを付けなければならないということは、ほとんどの人が認識しはじめましたので、１０００人中４００人は居ないでしょう。でも、１０００人中０人には、どう教育をしてもできないという現実もあるのです。

解読できない暗号を解読する！

そんなバカな！解読できない暗号は、解読できないだろう！
そうなんです。矛盾がありますが．．．．
ハッカー達は、この解読できない暗号を解読することに挑戦してきたのです！

正確には、解読するのではなく、もとのパスワードを当てるというテクニックです。

そうです、いろいろなパスワードを解読できない暗号に暗号化してみて、盗み出した暗号と同じになるまで、この作業を繰り返すわけです。

これが、セキュリティ教育で、「名前や電話番号、生年月日など、推測されやすいパスワードは避けること」と言われる理由なのです。

＜パスワード神話＞
パスワードは、３ヶ月に１度変更しなければならない！

ズバリ！変更しなくていいです！
最近は強制的に変更させられちゃうケースもありますが．．．

１５年以上前、１９９５年より以前、インターネットで使われていたUNIXのパスワードは、８文字でした。しかも記号は使えず、英数（大文字小文字区別なし）の組合わせでした。

２６文字＋１０文字＝３６文字種が、８文字ですから　ざっくりでパスワードは２．８兆種　くらいでしょうか。とてつもなく沢山の組み合わせで、とうてい推測できそうもありませんが、先に説明した解読できない暗号のパスワードを読まれてしまうと、話が変わるわけです。

コンピュータは、計算だけならとても速いですから、パスワードを推測するのではなく、a,aa,ab,ac......と全ての組み合わせを順番に作ってみて、これを暗号化し盗み出した暗号と一致するかをテストしていきます。これをブルートフォースアタックという言います。当時のコンピュータでも、１秒間に２０万回くらい計算ができたと仮定すると、６ヶ月程度で、どんなパスワードでもバレてしまうことになります。

そして、このような計算を元に、完全にバレる前にパスワードは変えるべき！という訳のわからないパスワード神話が生まれたのです。

現在は、大文字、小文字、数字、記号など、文字種が増え、さらに長いパスワードが使えるようになったので、しっかりしたパスワードを使っていれば、パスワードの定期的な変更は必要ありません。

ハッカー達は、盗み出した暗号化パスワードから、パスワードを効率よく推測するために、いるいろな研究をしてきました。そして人が付けやすいパスワードを優先的にテストするアルゴリズムと、解析ツールを開発したのです。

その中で有名で優秀なツールがjohn the ripper　というツールです。

このツールは、サーバから盗み出した暗号化パスワード（解読できない暗号）を読み込ませれば、かなり効率のいい方法で、パスワードを推測していき、パスワードを当ててしまうのです。