NSAでも破れないが、覚えやすいパスフレーズ

2015年3月29日 20:29

いくら推測が難しいと思われるパスフレーズを考えても、1秒間に1兆回の試行が可能なコンピューターを使われれば簡単に破られてしまう。The Interceptでは、比較的容易に覚えられ、推測の困難なパスフレーズを生成する「Diceware」という方法をMicah Lee氏が紹介している(The Interceptの記事本家/.)。

ランダムなパスフレーズを考える場合にも、関連する単語を組み合わせてしまったり、文法に従った語順に並べてしまったりと、人間はどうしてもパターンから逃れることはできないのだという。歌詞や名言、慣用句などを元にした場合、大文字小文字を取り混ぜたり、記号を挟んだりしてもランダムなパスフレーズよりも弱くなる。既存の単語を使わずに、完全にランダムな文字と記号を組み合わせてしまうと覚えるのが難しくなってしまう。

Dicewareでは7,776個の英単語によるリスト(PDF)を使用してパスフレーズを生成する。各単語には各桁が1~6の数字で構成された5桁の数が割り当てられており、サイコロを5回振って出た目の数により単語を選択していく。使用する単語がわかっているので1回目の試行で破られてしまう可能性もあるものの、5つの単語を使用した場合にはおよそ2,800京通りの組み合わせがあるため、平均では1,400京回の試行が必要となる。2013年にエドワード・スノーデン氏が警告したような1秒間に1兆回の試行が可能なコンピューターを使用すれば平均で6か月以内に破られてしまうが、6つの単語を使用すれば平均3,505年、7つの単語では平均2,700万年かかる計算となる。コンピューターの性能が向上すればもっと短時間で破られることになるが、7つの単語なら当面は安全と考えられるとのこと。

(続く...)パスフレーズを生成したら覚える必要がある。記事では覚えるまではパスフレーズを書いた紙を持ち歩き、なるべく見ないで入力することを推奨している。どうしても思い出せない時だけ取り出して見るようにし、日に数回入力していれば、覚えてしまうまでに2~3日もかからないとのこと。パスフレーズを完全に記憶したら、その紙を破棄すればいい。

The Interceptではオープンソースの内部告発システム「SecureDrop」を運営している。SecureDropでは匿名での告発を受け付けるため、Dicewareの手法を利用して告発者に7つの単語を組み合わせたコードネームを割り当てているという。ただし、SecureDropではDicewareのリストから不快感を与えるような単語を除去した6,800語のみを使用しているとのこと。シンプルでランダムなパスフレーズは次の内部告発者がノートパソコンに保存したデータを守るためにも使用できるが、一般市民までもがこのように高いレベルの保護を必要とする世界に住んでいることを残念に思う、とLee氏はまとめている。 スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | YRO | 暗号

 関連ストーリー:
多くの人が「パスワードの管理疲れ」を体験している 2015年02月10日
米当局、ハッカーが盗んだ情報を「横取り」していた? 2015年02月09日
2014年最も人気のあったパスワード、相変わらず「123456」や「password」がトップに 2015年01月22日
NSAでも傍受できなかった暗号化ツールとは 2015年01月21日
暗号化は政府による検閲や傍受に対して無力か 2014年12月11日
極めて高度なサイバースパイツール「Regin」 2014年11月28日
日本版の匿名内部告発サイトが12月に登場 2014年10月20日
IPAがパスワードの使い回しに対し警告 2014年09月18日
米国のテロ対策「要注意人物リスト」が漏えい 2014年08月09日
次善の策として「パスワードの使い回し」を容認するというアイデア 2014年07月17日
パスワードを管理する新しい手法「PolyPassHash」が提案される 2014年04月08日
NSA、大規模なハッキングを目的として自動システムを開発していた 2014年03月18日
パスワード、どうやって管理している? 2014年02月23日
The Guardian、スノーデン氏提供の機密文書を保存したノートパソコンを破壊する動画を初公開 2014年02月02日
記憶喪失からパスワードを守るには? 2014年01月12日
複数単語のパスワードがあれば、ネットは本当に安全なの? 2012年03月16日
パスワードがなくなる日、当分の間はやって来ない 2012年01月18日

 

関連記事

最新記事