パスワード管理に関する有名な冊子の執筆者ビル・バー氏(72)は、あれは失敗作だったと告白している。
2003年、米国の業界規格設定を手掛ける国立標準技術研究所(NIST)の中間管理職だったバー氏は「NISTスペシャルパブリケーション800-63 別表A」を作成した。8ページのこの文書は、インターネットで使うアカウントを守る方法として、パスワードに記号や大文字や数字を盛り込み、定期的に変更するよう勧めていた。
連邦政府機関や大学や大手企業は、パスワード設定の規則を検討する際にこの文書を頼るようになった。
だがバー氏は、アドバイスは結果的にほとんど間違っていたと話す。90日ごとにパスワードを変更するとなると、推測されやすい小幅な変更にとどめる人が大半だという。「Pa55word!1」を「Pa55word!2」に変えただけではハッカーを防げない。
また、小文字や数字や大文字、感嘆符や疑問符などの特殊文字を組み合わせるという、指が絡まりそうなアドバイスも的外れだった。
既に退職したバー氏は「今では自分がしたことの多くを悔やんでいる」と話す。
「800-63」は今年6月に全面改定され、パスワードに関する指令の最悪の部分は捨て去られた。改定には2年かかった。作業を担当したNISTのポール・グラッシ氏によれば、改定は当初、簡単な編集で終わると考えられていた。
いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない。これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」とグラッシ氏は述べている。
今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ。
ミネアポリスの見本市ディスプレー会社で顧客リソースを担当するエイミー・ラメール氏は、仕事で数百件のパスワードの管理に1カ月当たり1時間を費やしていたが、これは無駄ではないかと長らく思っていた。「規則のせいでパスワードが覚えにくい」うえに、「リセットが必要になると、さらに時間がかかる」ためだ。
パスワードに関するアドバイスが変わると聞いても怒りは覚えなかった。むしろうれしかったとラメール氏は話している。
パスワード研究者らによると、単語を4つ並べたパスワードの方が、それより短い奇妙な文字の寄せ集めよりもハッカーには破りにくい。文字数が多い方が、それより少ない文字・記号・数字を並べたものより難しくなるためだ。
漫画家のランドール・マンロー氏は、広く見られている作品の中で、「correct horse battery staple」を1つの単語に見立てたパスワードを破るのに550年かかると計算している。これに対し、バー氏の古い規則を使った典型的なパスワードの一例、「Tr0ub4dor&3」は3日で破られる可能性がある。マンロー氏の計算はコンピューターセキュリティー専門家の検証を受けている。
NISTによる昔のアドバイスの影響は、連邦政府機関にとどまらず企業のネットワーク、ウェブサイト、モバイル機器など広範に及んでいる。
マイクロソフト のコーマック・ハーリー主任研究員は、人類が1日にパスワード入力に費やす時間が計1300年相当を超えていると話す。同社はかつてバー氏のパスワード規則を採用していたが、現在は違う。
バー氏は、自身のパスワード規則で「人々は怒り狂ったうえに、何をしても良いパスワードを得られなかった」と話している。
過去10年にはハッキングが横行してきた。ハッカーは企業から数百万件のパスワードを盗み、ネットに掲載した。
これにより、ハッカーに強いパスワードの研究に必要なデータが集まった。その結果、人は自分のパスワードを過信していることが分かった。私たちは同じ組み合わせに引き付けられる傾向があるのだ。だが03年には、バー氏がこの現象を理解できるだけのデータはなかった。
ランダムなパスワードが作れると思われていたNISTの規則は「Pa$$w0rd」や「Monkey1!」といった、広く使われる不格好なパスワードを大量に生んだ。ハーリー氏は「自分以外に1万人の人が使っていたら、本当にランダムではない」と述べた。
グラッシ氏は、03年のアドバイスについてバー氏が自分を少し責めすぎだと思っている。「彼のセキュリティー文書は10~15年もった。私は、自分が作成した文書がそれくらい長くもつことを願っている」と話した。
コメント