「辞書に載っている単語を含めてはいけない」「120日ごとに新しくパスワードを設定すること」などバカげたパスワードのルールを持つサイトを集めた「Dumb Password Rules」
デバイスやウェブサービスのアカウントにパスワードを設定する際は、不正アクセスなどを防ぐために「文字数を長くする」「単純な数字や単語を使わない」といった対策を取るのが一般的です。しかしパスワードを設定する際に「大文字を1字以上追加してください」などのエラーメッセージが表示された経験がある人も多いはず。エンジニアのduffn氏が複雑なパスワードのルールを設定しているさまざまなウェブサイトについて「Dumb Password Rules」でまとめています。
Dumb Password Rules
https://dumbpasswordrules.com/
duffn氏はDumb Password Rulesを作成した理由について「複雑なパスワードのルールに遭遇すると私は非常にイライラします。私はこれらのパスワードのルールがどれほどバカげているかを皆さんに知らせたいと思いました」と述べています。なお、duffn氏によると、「バカげたパスワード」の例は「○文字以上、最大○文字」や「○○は使用できません」といったルールとのこと。
これがDumb Password Rulesのトップページ。「View sites」をクリックすることで295にわたるサイトの一覧を表示させることができます。
複雑なルールを設定しているというウェブサイトの一覧がこんな感じ。
一例として、Appleにおけるパスワード設定時のルールは「『aaa』などの連続する同一の文字を3つ以上含めない」「32文字以下」と規定されています。あまりに長すぎるパスワードを設定してしまうと、「Passwords cannot have more than 32 characters.(32文字以下で設定して下さい)」と表示されて登録ができません。
大型家具量販店のIKEAパスワードを設定する際のルールは、「8文字以上」「大文字1つと数字または特殊記号(!@#$%^&*)を必ず含めること」「同じ文字が2つ以上連続しないこと」と定められています。duffn氏はこのパスワードのルールについて「自分の名前に連続して同じ文字を2つ以上含んでいる場合、自分の名前をパスワードに設定するることができません」と指摘しています。
アメリカ航空宇宙局(NASA)が管理する人工衛星のデータベースであるEarthdataのルールは複雑で、ユーザー名は「4文字以上、最大30文字」「数字やピリオド(.)、アンダーバー(_)を必ず含むこと」「空白を含まないこと」「ユーザー名の最初と最後にピリオドやアンダーバーを含まない」「ピリオドやアンダーバーは連続してはいけない」といった条件が設定されています。またパスワードは「8文字以上」「大文字と小文字がそれぞれ1文字以上」「数字が1文字以上」含まれる必要があります。
イギリス郵便局にログインする際には、コピー・アンド・ペーストが許可されていないため、ユーザーが使用しているパスワードマネージャーなどからパスワードをコピーしてテキストボックスに貼り付けることが不可能です。この仕組みに対してduffn氏は「パスワードのコピー・アンド・ペーストを許可したところで、パスワードが脆弱(ぜいじゃく)になるとは考えられません」と批判しています。
スイスに本社を置く保険グループ「チューリッヒ保険」のパスワード設定に関するルールは「長さは8文字」「英数字のみ」「先頭の文字は英語のみ」「空白は使用不可」「新しいパスワードはこれまで同サイトで使用した過去32個のパスワードと一致してはならない」「ユーザー名と一致してはならない」と規定されています。
ゲームソフトウェア開発企業のBlizzardが提供するオンラインゲームサービスのBattle.netでは、「8~16文字」「1文字以上の数字と英語を含む」「特殊文字は使用不可」「ユーザー名と同じ、もしくは似たパスワードは使用不可」と定められています。また、大文字と小文字を区別しないことからduffn氏は「まるで20年前のパスワードルールのようです」と述べています。
アメリカ合衆国著作権局のルールはとにかく長く「パスワードには配偶者や子ども、ペットの名前を含めることはできません」「スポーツチームの名前や選手名を含めることはできません」「社会保障番号を含めることはできません」「辞書に載っている単語を含めることはできません」といった数多くの条件が指定されています。
ウインザー大学のルールには、「パスワードは120日ごとに更新しなければならず、新しくパスワードを登録する際には以前のパスワードを再度使うことはできません」という条項が含まれています。
フランスの銀行である「La Banque postale」のパスワードは6桁の数字で、入力欄の下に表示されたキーパッドの数字を選択してパスワードを設定する必要があります。
同じくフランスの銀行である「LCL銀行」も6桁のパスワードを設定する際に、表示されたキーパッドで入力する必要があります。
ING Romaniaのインターネットバンキングのパスワードは5桁の数字で設定する必要があり、パスワードの解読が比較的容易です。duffn氏によると、ING Romaniaは以前一般的なパスワードを設定していましたが、その後5桁の数字のパスワードに切り替えられたとのこと。なお、ユーザーには二要素認証の登録が義務づけられており、パスワード漏えいのリスクは低いとされています。
duffn氏はこれらのパスワードに関して、「バカげたパスワードについて、実際のところ厳格なルールはないので話し合いの場を設けることが大切です」と語っています。
・関連記事
「16文字以内で最強のパスワード」は本当に最強のパスワードなのか? - GIGAZINE
2020年に最も使われたパスワードは何だったのか?常連に加えて新顔も登場 - GIGAZINE
完璧にパスワードを設定するための4つの方法 - GIGAZINE
暗号メールサービスのProtonがエンドツーエンド暗号化されたパスワードマネージャー「Proton Pass」を発表 - GIGAZINE
赤外線カメラとAIでパスワードを盗み出すことが可能との論文が発表される - GIGAZINE
Googleがパスワード不要でログインできる「パスキー」に対応したのでiPhoneとAndroidスマホで試してみた - GIGAZINE
iOSで二要素認証ができるオープンソースのワンタイムパスワード発行アプリ「Tofu Authenticator」レビュー - GIGAZINE
・関連コンテンツ