ありがちなパスワードを「強い」パスワードと判断してしまうパスワード強度メーター

headless 曰く、　昨年、パスワードの強度を判定するツールの問題点が話題になったが、jQueryプラグインとして提供される人気のパスワード強度メーターでは現在もあまり改善されていないようだ（Naked Security、Guardian、Register）。

　デジタルコンサルタント会社、英Compound EyeのMark Stockley氏は昨年、スラドで紹介したカナダ・コンコルディア大学の研究とは異なる方法でパスワード強度メーターを調査し、Naked Securityで結果を発表している。先日新たに掲載された記事によれば、前回の調査から1年以上たった現在も状況は変わっていないという。

　判定に問題のあるパスワード強度判定ツールの弱点は、文字種や文字数の多さといったエントロピーにばかり注目するところだ。Stockley氏の行ったテストは、jQueryプラグインとして公開されているパスワード強度メーターで人気の高いもの5本を選び、よく使われるパスワード上位10,000件のリストから特定の条件を満たすパスワード5本を選んで判定させるというものだ。パスワード強度メーターはGoogleで「jquery strength meter」を検索し、上位5本を選んでいる。

　選ばれたパスワードは「abc123 （14位、英字と数字の組み合わせで最上）」「trustno1 （29位、英字と数字の組み合わせで2位）」「ncc1701 （158位、エンタープライズ号の登録番号）」「iloveyou! （8,778位、英数字以外の文字種が使われた中で最上位）」「primetime21 （8,280位、英字と数字の組み合わせで一番長い）」となっている。これらのパスワードはパスワードクラックツール「John the Ripper」で1秒以内にクラックできてしまうという。

　これらのパスワードは確実に弱いパスワードだが、5本のパスワード強度メーターは少なくとも1つのパスワードでパスワード強度「中」と判定している。今回使用したパスワード強度メーターのうち2本は前回と同じものだが、前回とまったく同じ結果が出ている。今回はDropboxなどでも使われ、評価の高いオープンソースのパスワード強度メーター「zxcvbn」を比較対象として同じテストを行っており、こちらはすべて「非常に弱い」と判定したとのこと。

　スラドのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
Google CEOのQuoraアカウントが乗っ取られ、連携先のTwitterでツイートが送信される 2016年06月30日
米セキュリティ指針で「パスワードの定期変更」「秘密の質問」が否定される 2016年06月28日
米CNBCがセキュリティ記事を悪用してパスワードを収集・共有していたことが明らかに 2016年04月05日
PCやネットのセキュリティ対策、一般ユーザーとセキュリティ専門家との違いとは 2016年02月03日
「パスワードの強度を判定」するツールにご注意を 2015年04月14日