2012年9月9日日曜日

パスワードの文法と暗号師たち



こういう時代であるからインターネットで買い物をすることも多いですわなぁ。銀行もオンラインで済ませてしまう。その他GoogleやらDropboxやらEvernote等々でいろいろな情報をどっかのサーバーに記録する。その度に必ずパスワードちゅうのが必要になる。あれ、面倒でねぇ。

でも面倒だからと言ってメチャメチャ簡単なパスワードにするわけにもいかず、かと言って覚えられないようなパスワードは不便で、何ともやりにくいのであります。あっちへフラフラこっちでゴツンって感じで発展中のインターネットの世界、まだまだ未成熟なんだから仕方ない。

それにしても、「自分だけが覚えている、自分にしかわからないパスワード」って、あり得るんだろうか。これ、誰もが考えたことがあるネタじゃないでしょうか。自分は一人でキーボードに向かっていると思っていても、実のところ世界中で多くの人々が似たようなキーボードを前にして似たようなことを考えているのだ。似たようなパスワードが出て来るのではないか。

…とか思ってたら案の定、そうでした。っつーか、もっとすごい世界です。(ちょっと遅れで聞いたポッド放送で知った。)

話は簡単である。最近、あちこちのサイトから大量のパスワードが流出する(盗まれる)事態が起こっている。それは銀行なんかではなく、例えばSNS系のサイトだったりで、直接の実害はないかのように見える…んだけど、それは大きな間違い。大量のパスワードは、暗号師たちによって分析されるのである。まさに言語学者が言語データに向かうのと同様である。

結果、「世の中の人々は、意外なほど同じようなことを考えている」ということが明らかになった。同じようなパスワードが多い、というような甘い話ではない(実はそれもコワイぐらいあるんだけど)。同じようなやり方で作っているパスワードが多いのだ。

例えば、「8文字の英字の後に4桁の数字を付ける」パターンが異常に多い。しかも、その英字の1文字目は大文字、4桁の数字は19XX、つまり20世紀の年号であることが圧倒的に多い。全体が12桁で大文字と小文字と数字が混ざっている、という点だけから見ると結構強いパスワードなんだけど、ここまでパターンが読めてしまえば、組み合わせの数は圧倒的に少なくなる。こうなれば「片っ端から攻撃」が可能になり、そのパスワードは開いてしまうのである。

他にも種々様々なパターンがある。これらを片っ端からプログラム化すれば、強力な「暗号破りソフト」が出来上がる。これを無料一般公開しているんだからスゴイぞ(興味のあるギーク人は Hash Cat に行ってご覧なさい)。これを引っさげて、アマゾンなり銀行なりに行くわけである。一見実害はなさそうに見えるパスワード流出、恐るべし。

「世の中、そんなに同じパターンばかりじゃなかろう」とお思いのアナタ、甘い甘い。相手は暗号師たちでありますぞ。自分の暗号破りソフトで破れないパスワードについては、これをジッと観察して、パターンを読むのだ。大量のデータがあるというのは、そういうことなんですからな。

こうして、言語学者が未知の言語の文法を見出していくが如く、暗号師たちは「人々がパスワードを思いつく文法」を見出していく。裏をかく奴が出てきたら、その方法論も組み込んでいけば良い。こうしてますます強力なパスワード破りソフトができていくのである。

こういう話は大好きなので喜んで聞いていた…が、さぁどうしましょ、自分のパスワード。とりあえず、めっちゃランダムで桁数も多いパスワードにして、もちろん覚えられないしフツーに入力もできないから例えば LastPass みたいなサービスを使って、…ってことですかなぁ。

目下のところ、8桁のパスワードなら、何の文法も必要とせず、「片っ端から可能な文字の組み合わせを試してやるけんね」という暴力的方法で開けられるそうです。しかも、ご家庭にも置けるちょっとしたコンピュータで12時間ぐらいで。時代は変わったなぁ。

となれば、さぁさぁ、こんなもの読んでないで、ちゃんとパスワード変えてくださいよ。あ、ちょっとやそっと考えたってダメですよ。暗号師たちは、どうも付き合いきれない連中なのだ。すでに知っているか。知らなかったならばこれからの参考にするか。煮ても焼いても食えない連中なのだ。言語学者みたいな奴らだ。ううむ。面白いなぁ。

0 件のコメント: