セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか？

by stevepb

「パスワードは長く、英数字を混ぜた方がいい」「他人に推測されないパスワードを作ることが重要」といった意見は広く受け入れられていますが、Microsoftの個人情報部門セキュリティ保護チームに勤務するアレックス・ヴァイネルト氏は、「パスワードについての言説は誇張されたものが多く、実際にはパスワードの長さや複雑さはそれほど重要ではない」と解説しています。

Your Pa$$word doesn't matter - Microsoft Tech Community - 731984
https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Your-Pa-word-doesn-t-matter/ba-p/731984

Microsoftでセキュリティに関する仕事に従事しているヴァイネルト氏は、週に1度は「なぜパスワードにまつわる多くの誇張されたエピソードが流布しているのか？」という点について、関係者と議論しているとのこと。「誰も使ったことがないようなパスワードにする」「できるだけ長いパスワードを使う」といったパスワードに関する主張は広く受け入れられていますが、これらの主張はヴァイネルト氏らのセキュリティ対策チームが見ている現実とは矛盾しているそうです。

ヴァイネルト氏は、「パスワードについてばかり議論することは、多要素認証やセキュリティ上の脅威を検出する精度の向上など、セキュリティにとって本当に重要なことから目を逸らす結果になってしまう」と指摘。パスワードの長さや複雑さがそれほど重要ではないと理解するには、悪意のある攻撃者が実際にどのようにしてパスワードを突破するのかを理解することが重要だとのこと。

by JanBaby

個人のパスワードが突破される攻撃として記事作成時点で知られている主な手法と、攻撃に対するパスワードの重要性は以下のようになっています。

◆1：Credential Stuffing攻撃→パスワードは重要ではない
Credential Stuffing攻撃とは、流出したアカウント情報を使ってさまざまなサービスに自動で不正アクセスするという攻撃手法。ヴァイネルト氏によるとCredential Stuffing攻撃は非常によくある攻撃手法だそうです。この場合、既に攻撃者は流出した「正しいパスワード」を入手してしまっているため、どれだけ複雑なパスワードを設定していようとセキュリティ上は関係ありません。

◆2：フィッシング詐欺→パスワードは重要ではない
フィッシング詐欺は、企業などになりすましたメールを送信し、偽のWebページなどへ誘導してアカウント情報などをゲットするというもの。全受信メールのうち0.5％がフィッシング詐欺を目的にしたものだとヴァイネルト氏は指摘し、人々にとってフィッシング詐欺は身近な脅威であるそうですが、この場合もパスワードそのものは関係ありません。人々がフィッシング詐欺にだまされないように、対策としてはインターネットリテラシーを高めるのが有効。

◆3：マルウェアによるキーロギング→パスワードは重要ではない
キーロギングとは、キーボードを叩いた動作をソフトウェアあるいはハードウェアが記録することを指します。マルウェアの中にはこっそりとキーロギングを行い、第三者に送信するタイプのものもあります。この場合、パスワードをどのような複雑な文字列にしていようとマルウェアが誤ったキーロギングを行うことはありません。なおヴァイネルト氏によると、攻撃手法としてはそれほど使われるものではないとのこと。

by Skitterphoto

◆4：さまざまな手がかりからパスワードを突き止める→パスワードは重要ではない
たとえばパスワードを自分で覚えられない人が残したメモ、あるいは共有状態になっているファイルからパスワードを記したテキストを探したりといった手法は、それほど使われることもなく、犯人側が実際にパスワードを突き止める可能性も低いとのこと。この攻撃が成功した場合も、犯人は実際に正確なパスワードを入手できているため、いくら複雑なパスワードを用意していても関係ないといえます。

◆5：脅迫によるパスワード取得→パスワードは重要ではない
悪意のある人物が「パスワードを教えないと重要な秘密をバラすぞ」といった脅しをかけてくるケースはめったにありませんが、映画などフィクションの中ではたまに見るとヴァイネルト氏は指摘。この場合もパスワードそのものが重要ではありません。

◆6：パスワードスプレー攻撃→パスワードは少し重要
パスワードスプレー攻撃とは、大量のアカウントに対して「同一のよく使われているパスワード」を用いてログイン試行を行う攻撃手法のことです。パスワードスプレー攻撃は近年になって増えており、ヴァイネルト氏によると1日で10万人を超える人々がパスワードを破られることもあるそうです。この場合、攻撃者は実際にアカウントのパスワードを所持しているわけではなく、「よく使われているいくつかのパスワード」で手当たり次第に攻撃を試みます。そのため、「qwerty」「123456」「pass1234」といった単純なパスワードを使っている場合を除き、パスワードの複雑さはそれほど関係ないとのこと。

◆7：ブルートフォース攻撃→パスワードは少し重要
理論的にあり得るパターンを全て入力することでパスワードの突破を試みるブルートフォース攻撃は、よほど重要なターゲットでない限りほぼ遭遇しない攻撃手法です。総当たりでの突破を試みるという性質から、この場合に関してはパスワードが長い方がセキュリティ上有利といえます。

by Mark Burnett

以上の攻撃パターンから、実際に起こりうる攻撃の多くではパスワードそのものの複雑性がそれほど重要ではないことがわかります。パスワードが重要といえるのは「パスワードスプレー攻撃」と「ブルートフォース攻撃」の2つですが、パスワードスプレー攻撃の場合は攻撃者が試すパスワードのパターンが非常に少ないとヴァイネルト氏は指摘。攻撃者がパスワードスプレー攻撃に使うパスワードのトップ10が以下。

1：「123456」
2：「password」
3：「000000」
4：「1qaz2wsx」
5：「a123456」
6：「abc123」
7：「abcd1234」
8：「1234qwer」
9：「qwe123」
10：「123qwe」

このように、攻撃者は非常に単純な少数のパスワードのみを用いて攻撃を行うため、自分だけにわかる単語などを組み込むことで、簡単にパスワードスプレー攻撃を防ぐことが可能。危険なパスワードとしてランキングに掲載されるようなものでなければ、ほぼ大丈夫だろうとヴァイネルト氏は述べています。

最悪のパスワード2018年版、トップは安定の「123456」 - GIGAZINE

また、ブルートフォース攻撃はそもそも攻撃者が試みる割合が少ないことに加え、9文字を超える長めのパスワードを作ることで、総当たりによって突破される可能性を大幅に下げることができます。

ヴァイネルト氏は極端にセキュリティの低いパスワードでさえなければ、パスワードの複雑さそのものがセキュリティに大きな影響を与えることはないと指摘。パスワードについて頭を悩ませるのではなく、デバイスのセキュリティやネットリテラシーを高め、パスワードと別の要素を組み合わせた多要素認証を用いることが、パスワードの複雑さよりもはるかに重要であると締めくくっています。

by succo