インフィニティソリューションズ株式会社ブログ

弱いパスワードでいいのだ!?

今話題のベネッセの一件はある意味内部犯行だったということだ。個人情報の漏洩は、内部犯行によるものが多いが、ハッカーなどによって盗まれるケースも数多く見られ、そのためにも、簡単に類推できてしまうような弱いパスワードではなく、英数字に記号を組み合わせたような強力なパスワードを設定すべし、というのが普通のアドバイスだ。マイクロソフトの関連機関でありながら、完全独立した研究機関であるマイクロソフトリサーチによれば、弱いパスワードにした方が良いという。いったいどういうことなのか。SD Timesの記事より。

Image courtesy of Stuart Miles / FreeDigitalPhotos.net

“While significant attention has been devoted to motivating and helping users choose strong individual passwords, there is little guidance on how to choose and manage large numbers of them,” the researchers wrote.

「同機関の研究者によると(サイトごとに)別々かつ強力なパスワードにするよう、強く勧められてきているが、多数のパスワードをどう設定し、どう管理すべきなのかについての指針は出されていない」

The researchers recommend the use and reuse of weak and easily remember passwords, but not for every site. They suggest classifying passwords into two groups: one with high value and low probability of compromise and another with low value and high compromise. The first group would include sites that contain personal information like your online back account or email account. The second group includes websites and forums that don’t include any of your crucial information like sites that don’t require financial transactions.

「研究者らは、弱くて簡単なパスワードを使用し、再使用するよう勧めているが、すべてのサイトに対してではない。2種類のグループに分けることを勧めている。1つは、価値が高く、盗まれにくいもので、もう一方は価値が低く、盗まれやすいものだ。第一のグループにはオンラインの銀行のアカウントやメールアカウントのように、個人情報が含まれるサイト。第二のグループには、金銭的なトランザクションが発生しないサイトなど、重要な情報が含まれないウェブサイトやフォーラムなど。」

“Any strategy that rules out weak passwords or re-use will be sub-optimal,” the researchers wrote. “We note that while password re-use must be part of an optimal portfolio strategy, it is no panacea. Far from optimal outcomes will result if accounts are grouped arbitrarily.”

「研究者らによると、弱いパスワードや再利用を是としない戦略は、最善ではない。念のため、パスワード再利用は最適なポートフォリオ戦略の一部ではあるが、万能ではない。グルーピングを間違えると、最適とはほど遠い結果になる。」

For users who don’t want to reuse their passwords, other strategies to deal with the struggle of having to remember every password for every site include single sign-on use of email-based password reset mechanisms, and password managers, but the researchers point out that those strategies still face the risk an hack attack.

「パスワードを再利用したくなければ、シングルサインオンやメールベースのパスワードリセットの仕組み、パスワードマネージャなど、あらゆるサイトのパスワードを覚えておこうと奮闘することだ。しかし研究者らはこの戦略でもハッカー攻撃にあうリスクはあると指摘している。」