パスワードは複雑にする必要はない。ただ長くすればいい――。米連邦捜査局（FBI）のそんな勧告が話題になっている。根拠としているのは、米国立標準技術研究所（NIST）がまとめた最新版のガイドライン。破られにくく、かつ覚えやすい文字列を作り出すため、パスワードではなく「パスフレーズ」の使用を勧めている。

これまでパスワードといえば、アルファベットの大文字と小文字、数字や記号を使ってできるだけ複雑にするのが望ましいとされてきた。ところがNISTの勧告では、パスワードの複雑さよりも、長さの方が、ずっと大切だと説く。

そこで、長くてしかも覚えやすい文字列をつくりだす手段として提言しているのが、複数の単語を組み合わせたり文章をつなげたりするパスフレーズ。FBIは強いパスフレーズの一例として、「VoicesProtected2020WeAre」「DirectorMonthLearnTruck」などを挙げている。大文字と小文字の使用や記号の使用は必須としない。長さについては15文字以上を推奨している。そこまで長い未字列を受け付けていないシステムでは、それぞれで利用できる最長のパスワードまたはパスフレーズを設定することが望ましい。

ただしパスフレーズもパスワードと同様、もちろん使い回しは禁物だ。いつ、どこで流出するかは分からないし、いったん流出すれば攻撃に利用される可能性がある。誰でも知っているようなフレーズや名言の類、歌詞なども避けなければならない。

Choosing and Protecting Passwords

こうした勧告の背景として、パスワードを破って企業や政府機関などのシステムに侵入しようとする攻撃の手口は多様化・巧妙化していて、情報の大量流出事件も跡を絶たない。

具体的には、辞書に載っている単語で不正ログインを試みる「辞書攻撃」や、過去に流出したIDとパスワードを利用する「パスワードリスト攻撃」、あらゆる文字列の組み合わせを総当たりで試す「ブルートフォース攻撃」といった手口が使われている。

最近では米Citrix Systemsのネットワークが不正侵入された事件で、「パスワードスプレイ攻撃」という手口が使われていたことが分かった。これはブルートフォース攻撃の一種とされ、アカウントロックなどの対策をかわしながらジワジワと責めることから検出が難しいという。

そうした攻撃を阻止するための対策として、長いパスワードが有効とされる理由は単純だ。長ければ長いほど、破るために要する時間と労力が増える。Newsweekが専門家の話として伝えたところによると、例えば7文字のパスワードなら、ハッキングソフトウェアを使ってわずか0.29ミリ秒で破られる。これが12文字になると200年近くかかる計算。そして24文字になると1800万年以上かかるという。

ただしこれはあくまでも現時点での話。クラウド、AI、機械学習、量子コンピュータなどあらゆる技術が進歩すれば、パスワード破りの技術も進歩する。やはりパスワードだけに頼れる時代は、もう長くはないのかもしれない。