増えるパスワード破り，あなたはどうしていますか？

言うまでもなく，パスワードは重要である。容易に推測可能なパスワードを使っていれば，どんなに強固なセキュリティ・システムを利用していても意味はない。例えば，セキュアなリモート・アクセスを実現するプロトコルの一つ「SSH」のパスワードを破られてサーバーに侵入された事例が情報処理推進機構（IPA）に報告されている（関連記事）。

実際，富士通 fujitsu.com室の城崎徹氏によると，SSHなどへのパスワード破り攻撃が最近増えているという（関連記事）。あるセミナーにおいて同氏は，パスワード破りのツールには“改良”が加えられていて，簡単なパスワードを付けていると容易に破られる状況になっているという。パスワード破りツールは，辞書ファイルの中にある単語を使ってログインを試行する。このため，辞書が同ツールの肝となる。この辞書は「日々更新されている」（城崎氏）という。辞書には「国内ユーザーを対象としていると思われる単語が多数含まれる」（同氏）。

同様の話は，2年前にあるセキュリティ・ベンダーの方からも聞いている（関連記事）。パスワード破り用の辞書には，通常に辞書に書かれている単語はもちろん，いろいろな国の人名や地名といった固有名詞も収められているという。日本人の名前や日本語の曲名などをパスワードにしていれば，一見，日本人以外のクラッカには破られないように思えるが，ツールを使えばあっという間に破られることになる。破られないようにするには，世界中の誰が見ても意味不明な文字列にする必要がある。しかも，パスワードを頻繁に変更することも求められる。

つまり，「推測できないようなパスワードを設定する」「パスワードを頻繁に変更する」---ことが，インターネットからアクセスできるようなサーバーでは特に重要になる。

もちろん，パスワード認証以外のユーザー認証システムを導入できればパスワードにまつわる問題からは解放されるが，コストなどの問題で導入が難しい企業や組織は少なくないだろう。そういった企業／組織では，個々のユーザーがパスワードを適切に管理する必要がある。

推測できないものは覚えるのも大変

とはいえ言うのは簡単だが，推測できないようなパスワードを設定して，しかも頻繁に変更することは難しい。推測できないような複雑なパスワードは，当然覚えていることも難しいからだ。

複雑なパスワードを作る方法はいくつかある。「他人は推測できないが自分は覚えていられるパスワード」の作成方法としてよく用いられるのが，有名な文章や歌詞に並んでいる単語の頭の文字を使う方法である。このとき，アルファベットだけのパスワードにならないように，自分なりのルールで記号や数字に読み替える。 [全文]