【翻訳記事】パスワードのルールはでたらめだ

Jeff Atwood氏がブログで投稿した記事「Password Rules Are Bullshit (Posted Mar 10, 2017)」を翻訳してご紹介しています。
なお、この記事は原著者の許諾を得て翻訳・掲載しています。

---

パスワードの悪いところはたくさん、たくさんありますが、一番悪いものは何か知っていますか？それはパスワードのルールです。

このTwitterの誓約を、インターネットの永続的な記録に正式に記載しましょう。死後の世界があるかどうかはわかりませんが、きっとすぐにわかるでしょう。私は猛烈に怒った幽霊として化けて出てやります。

最悪なパスワードのルールが世界中にあふれています：

• 間抜けなパスワードルール
• 最悪なパスワードポリシー
• 恥ずかしいパスワード要件

しかし、このことをあなたに伝える必要はないでしょう。僕たちのようなオタクと同様、あなたが真にランダムなパスワード生成ツールを使用するにつれて、この体制下では、あなたは毎日ひどく苦しんでいるはずです。

パスワードに関する古典的なXKCD（ウェブコミックのサイト）を見たことがありますか？

僕たちは確かに「正解、馬、バッテリー、ステープル」が実行可能なパスワード戦略であるかどうか議論することができます。しかし、ここでの主張はパスワードの長さの問題です。

いや、僕は真剣です。実際にそうです。僕は、あなたのパスワードがあまりにも短すぎるということが言いたいのです。現在、クラウドコンピューティングとGPUパスワードのハッシュクラッキングの状況を考えると、8文字以下のパスワードは、パスワードのない状態と同じくらい危険にさらされています。

パスワードを短くしてはいけないというルールがあります。長いパスワードは、短いパスワードよりも安全性が高いはずですよね？

では、この4文字のパスワードはどうでしょう？

この8文字のパスワードはどうでしょう？

あるいは、この7文字のパスワード（仮説ですが、こういうのがあってもいいですよね）はどうでしょう？

 


 

上記の4つのUnicode絵文字をお気に入りのログインダイアログに貼り付けて（実際に試してみてください）、実際には4文字ではないことを発見すると驚くかもしれません。

おやまあ。

僕たちの古くからの友人であるUnicodeが再び襲ってきます。

ここで判明したように、「あなたのパスワードは合理的な長さでなければならない」という単純なルールでさえ、必ずしもそうであるとは限りません。特に、ASCII至上主義の醜いアメリカ人のような思考をやめるならば。

では、素晴らしい、そして長いパスワードはどのようなものでしょうか？それらは常に安全でしょうか？

もちろん、こんなものはだめですよね。最近、こんなユーザーに会ったことはありますか？

これらは、僕が今までに書いたソフトウェアのすべての部分を一貫して台無しにします。もちろん、あなたのようなオタクがエントロピーの概念について理解していることはよくわかっていますよ。しかし、エントロピーに対するあなたの愛を、恐ろしく独特なパスワードのルールとして表現するとこうなります…。

• 大文字を含まなければなりません
• 小文字を含まなければなりません
• 数字を含まなければなりません
• 特殊文字を含まなければなりません

…これは、ユニコードと絵文字の世界で想像力が驚くほど失敗した結果です。

僕たちがDiscourseを構築したとき、ログインのダイアログは一見単純であるにもかかわらず、非常に複雑なソフトウェアであることがわかりました。僕たちが使用したプライマリパスワードルールも、「パスワードの長さ」という最も単純なものでした。僕たちは既に最小パスワードのデフォルトの長さを8文字から10文字に増やしました。管理者またはモデレーターになった場合、最小の長さをさらに増やして15文字にしようと決めました。

僕はまた、上位10万の最も一般的なパスワードに照らし合わせてパスワードをチェックすることを提唱しました。 2016年にデータが漏洩した1,000万のパスワードを見ると、最も多く使用されているパスワードの上位25個は以下のとおりです：

123456	123321
123456789	666666
qwerty	18atcskd2w
12345678	7777777
111111	1q2w3e4r
1234567890	654321
1234567	555555
password	3rjs1la7qe
123123	google
987654321	1q2w3e4r5t
qwertyuiop	123qwe
mynoob	zxcvbnm
	1q2w3e

このデータも、ASCII中心主義を裏切っています。僕が思うに、どんな文化においても数字は同じですが、平均的な中国人が「password」、「quertyuiop」、または「mynoob」というパスワードを選択するとは思えません。そのため、このリストはカスタマイズ可能かつローカライズ可能でなければなりません。

（1つの興味深いアイデアは、より長いパスワードの中で一般的な短いパスワード一致を検索することですが、これはあまりにも多くの偽陽性（誤検知）を引き起こすと思います。）

データを調べると、これもパスワードの長さを考慮した主張に変わります。上位25個のパスワードのうち10文字なのがたった5個であることに注目してください。つまり、10文字のパスワードを求めると、最も一般的なパスワードとかぶる確率を80％減らすことになります。このことは、Discourseで漏洩した何百万ものパスワードを収集し、10文字以上という新しい最小要件を反映したパスワードだけをフィルタリングしてリストを絞り込んだときに気付きました。

それは突然小さなリストになったのです。（同様の一般的なパスワードリサーチを行っている場合は、コメントで結果を共有してください。）

仲間の開発者に以下のような常識的なアドバイスを提供したいと思います：

1. パスワードのルールはでたらめです

• パスワードのルールは機能しません。
• パスワードのルールは、真にランダムなパスワードジェネレータを使用する人たちという理想的な読者に大きな不利益をもたらします。知ってます？そのランダムなパスワードに数字や記号が含まれていないことだってあるんですよ。僕は数学の教科書をダブルチェックしました。その結果、やっぱりその可能性はあります。まず間違いないと思います。
• パスワードのルールは平均的なユーザーを苛立たせます。その結果、彼らは非協力的になり、パスワードの安全性を損なう「創造的な」回避策を使用してしまうのです。
• パスワードのルールは、僕が上記で共有した多くの恥ずかしいリンクに基づいても、選択されたルールが大雑把で不完全で、かつ／または狂っているという意味で、間違っていることが多いです。
• 真剣に、神への愛のために、この既にナンセンスなパスワードルールをやめてください。僕の言葉を信じられないならば、この2016年 NISTのパスワードルールの推奨事項を読んでみてください。そこには「構成ルールなし」と書かれています。しかし、僕は1つのエラーを見つけました。そこは「でたらめな構成ルールなし」と書くべきです。

2. Unicodeにおける最小のパスワードの長さを強制してください

ルールが一つだと、少なくとも覚えやすく、理解しやすく、強制しやすいです。このルールは、それらを全てもたらすよく知られているルールであり、よくわからない状況でも機能するルールです。

• このルールはシンプルです。ユーザーは（全員じゃないかもしれないですけど、ほとんどは）数えることができます。
• このルールは機能します。データが、このルールが機能することを示しています。試しに、選択した一般的なパスワードリストをダウンロードし、パスワードの長さでグループ化してみてください。
• 数学は嘘をつきません。他のすべての事項が等しい場合、より長いパスワードは、短いパスワードよりもランダムになり、安全性が高くなります。
• この1つのルールでさえも神聖なものではないことを受け入れてください。中国のサイトでは、パスワードの長さを最低6文字にすると、非常に合理的かもしれません。20文字のパスワードでも、馬鹿馬鹿しくなるほど安全ではない場合もあります。
• パスワード入力フィールドで（ほとんど）すべてのUnicode文字を許可しないのは間違っている可能性があります。
• これは実装の詳細を少しお見せしただけですが、パスワードの最大の長さも合理的であることを確かめてください。

3. 一般的なパスワードを確認してください

既に述べたように、「一般的」の定義は読者と言語によって違いますが、データが漏洩した既知の10万、100万、または100万件のリストに存在する一般的なパスワードを選択すると、ユーザーにとってはひどい不利益になります。ハッカーがハッキングする際にこれらの一般的なパスワードを入力することに疑いの余地はありません。積極的なパスワード試行率の制限があっても、上位1,000個の最も一般的なパスワードを使用するだけで、簡単にパスワードを割られてしまうのはショッキングです。

• 1.6％の人は、上位10個に入るパスワードを使っています
• 4.4％の人は、上位100個に入るパスワードを使っています
• 9.7％の人は、上位500個に入るパスワードを使っています
• 13.2％の人は、上位1,000個に入るパスワードを使っています
• 30％の人は、上位10,000個に入るパスワードを使っています

幸運なことに、実際に漏洩した数百万ものパスワードリストがあり、それを取捨選択することができます。それらは、退屈なプログラマーが夢見る仮想的で合成的な「切り裂きジャック（未解決）」のパスワードルールではなく、実際のユーザーが使用する実際のパスワードなので、データフォレンジックを行うのは楽しいことです。

研究を行ってください。データを収集してください。ユーザーを保護してください。

4. 基本的なエントロピーを確認してください

ここで選り好みをする必要はありません。あなたの直感を信じて、エントロピーの尺度を選んでください。しかし、あなたがチェックに失敗したときに、それをユーザーに説明することができなければならないことを忘れないでください。

文字通り「aaaaaaaaaa」という10文字のパスワードを選択するユーザーがいても問題ないとわかったとき、僕は少し悲しかったです。僕の意見では、これを行う最も簡単な方法は、（y）個の文字のうち少なくとも（x）個の固有文字が存在することを確認することです。そしてこれは、僕たちがDiscourseの現在のベータ版で行っていることです。他のアイデアも大歓迎なので、コメント欄にお寄せください。単純かつ明確な方がいいです！

5. 特別なケースのパスワードを確認してください

お恥ずかしいことに、Discourseのログインを構築するときに、僕たちは本当にブロックしなければならない2つの一般的な事例を見逃してしまいました。

• ユーザー名と同じパスワード
• 電子メールアドレスと同じパスワード

Discourseバージョン1.4より前のバージョンを使用している場合は、すみません、すぐにアップグレードしてください。

同様に、以下のような他の特別なケースをブロックすることもできます。

• ウェブサイトのURLまたはドメインと同じパスワード
• アプリ名と同じパスワード

つまり、既存の考えにとらわれずに、ユーザーが考えるであろうことをよく考えてみてください。

著者：Jeff Atwood
屋内愛好家。Stack OverflowとDiscourseの共同設立者。免責事項：僕は自分の言っていることを自分でも理解していません。僕のTwitterアカウント：http://twitter.com/codinghorror

---

CREDIT:原著者の許諾のもと翻訳・掲載しています。

［原文］Password Rules Are Bullshit (Posted Mar 10, 2017) by Jeff Atwood
 

---