あなたのpa$$w0rdのどこがいけないの?

ローリー・フェイス・クレイナー(Lorrie Faith Cranor)
(翻訳: Kayo Kallas, and reviewed by Shuichi Sakai

This translation was 1st appeared at Ted.com: Jun 2014 and its original presentation was appeared as;
What's wrong with your pa$$w0rd?” given at TEDxCMU filmed in March 2014.
1st appeared at identifiable.info: 2016-03-07 09:03:51.
This usage of TED Talk should follow the terms of Creative Commons license Attribution - NonCommercial - NonDerivative (BY-NC-ND).

以下の記録は、カーネギー・メロン大学(当時。2016年にFTCへ移籍されました)のローリー・クレイナー(Lorrie Faith Cranor)さんが 2014 年 3 月に “TEDxCMU” という TED のイベントで発表した内容の記録(transcript and translation)です。この記録は TED.com において Creative Commons の「表示 - 非営利 - 改変禁止 3.0 非移植 (CC BY-NC-ND 3.0)」ライセンス として転載が許可されるコンテンツであるため、当サイトでも資料の一つとして転載させていただいています。TED、クレイナーさん、そして翻訳にあたった Kayo Kallas さんとレビュワーの Shuichi Sakai さんに、まず感謝を添えておきたいと思います。

なお、以下の記録は公開されている文章のままとなっています。Creative Commons のライセンスには幾つか種類がありますが、TED で採用しているライセンスでは転載にあたって改変が認められていないため、日本語の文章としては句読点がなく読み辛いかもしれません。18分弱の映像が TED.com で公開されていますので、時間があれば元のプレゼンテーションをご覧いただくことをおすすめします。“Subtitles” を設定すれば日本語の字幕も表示できます。

私は カーネギーメロン大学の コンピュータ科学と工学の教授です ユーザビリティの高いプライバシー保護とセキュリティの研究をしています ですので 私の友人は コンピュータシステムでの フラストレーションの例を教えてくれます 特に うまく機能していない プライバシーとセキュリティーに関してです

パスワードの話題を良く耳にします 多くの人がパスワードの事にもどかしさを感じています 自分が覚えることの出来る それでいて 誰も思いつかない とても良いパスワードを ひとつ考えるだけでも十分大変なのに 百の異なるシステムのアカウントを持ち 各システムごとに 異なるパスワードを 持たなければならないと どうでしょう? 大変ですよね

カーネギーメロン大学では かつて簡単に パスワードを覚えれるようになっていました パスワードを覚えれるようになっていました 2009年までの パスワードに必要な条件は 最低1文字を使った パスワードを持つことでした 簡単でしょ でも大学はこれを変更し 2009年の終わりに 新しいポリシーになることを発表しました 新しいポリシーの条件は パスワードが最低8文字であること 大文字 小文字 を含むこと 数字 記号を含むこと 同じ文字を3回以上使用しないこと そして 辞書にある単語ではないことでした

さて この新しいポリシーが実施された時 私の同僚や友人 大勢の人々が 私の所にやってきて こう言いました 「これこそ本当に使えない 何故こんなことをするんだ 止められなかったのかい?」

そして 私は こう言いました 「あのね 尋ねてくれなかったの」

ただ 私は興味を持ったので コンピュータシステムの担当の方に なぜ この新しいポリシーを 導入することになったのか 聞きに行くことにしました そして 彼らは 大学がコンソーシアムに入り 加盟条件のひとつが 新しい条件を満たす パスワードの強化 だったと教えてくれました パスワードが大きなエントロピーを 有するという条件です さて エントロピーとは 分かりにくい単語ですね 基本的に パスワードのセキュリティーの 強さを測る単語です ですが 問題は エントロピーを測る 標準規格が無いことです 米国標準技術局 (NIST) には エントロピーを測定するための 経験則を使った 一連のガイドラインがあります ですが それらは 具体的ではありません ガイドラインが 経験側だけである理由は 彼らが パスワードの 十分な データを持っていないからです 彼らが パスワードの 十分な データを持っていないからです 実際 レポートには こう記されています 「残念ながら 特定の規則の下で選択された パスワードのデータを多く持っておりません NISTは ユーザーが実際選択した パスワードのデータをより多く取得したいのですが システム管理者は 当然の事ながら 他者にパスワードデータを公表するのに消極的です」

これが問題なのですが私たち研究グループは それを良い機会と捉えました 「なるほど 質の良いパスワード データが 必要とされている おそらく 私達でデータを集めて この分野の水準を高めることが出来るだろう」 と

そこで 私達が最初にしたことは チョコレート バーを買ってきて キャンパスを歩き回り 学生や教員たちと話をしたことでした そして 彼らのパスワードに関する 情報を尋ねました もちろん 「パスワードを教えて下さい」 とは言いません ただ パスワードについて質問したのです どの位の長さか? 数字を含むか? 記号を含むか? 先週 新しいパスワードを 作らないといけないのを めんどくさいと思ったか? こうして 学生 教員 職員 470人から 結果を得ることができ こうして 学生 教員 職員 470人から 結果を得ることができ 新しいポリシーは 実際うっとうしく 思われていること事を確認しました 新しいポリシーは 実際うっとうしく 思われていること事を確認しました しかし同時に 新しいパスワード規定を より安全と感じたと 言った人もいることが分かりました 多くの人が パスワードを 書き残すべきではないと理解していて 調査対象の13%の人だけが そうしていていました しかしながら 不安なことに 80%の人が パスワードを使い回していると答えたのです 実は こちらの方が パスワードを 書き残すより 危険なのです なぜなら ハッカーの攻撃を受けやすく するからです ですので もし どうしても 必要なのであれば 書き残してください 使い回さないでください 私達は また面白い事を発見しました それは パスワードで使われる記号についてです CMUでは 32種類の記号が使用可能ですが ご覧の通り ほとんどの人が ごく限られた記号を使用しています ですので 実際は シンボルを使用することでの パスワードの強化は あまり得られません

これは本当に興味深い調査でした 私達は 470人のデータを得たわけですが 世の中全体から見ると そんなに多くのデータではありません ですので どこで追加の パスワードデータを見つける事が出来るか 探し始めました そして 世の中には パスワードを盗む人達が大勢いて 彼らは 盗んだパスワードをよくインターネット上に 公開している事が分かりました そこから 私たちは 盗まれたパスワードにアクセスすることが出来ました ただ これらは研究には 理想的ではありません なぜなら これらのパスワードが どこから来たのか また どの様なポリシーの下に 作られたのか 分からないからです ですので 私達はもっと出所のはっきりした データが欲しかったのです そこで 私達が出来るのは 研究用に 人々にパスワードを作ってもらうことでした 研究用に 人々にパスワードを作ってもらうことでした そこで アマゾン メカニカル タークという サービスを使いました これは 一分から数分 一時間 単位で 出来る小さな仕事を投稿し 1¢10¢ 数$ を支払い タスクを実行してもらう サービスです 報酬は アマゾンを経由して支払います 私達は ルールに従ったパスワードを作って 調査に答えてもらうのに 50¢ほど支払いました そして またお金を払って2日後戻ってきてもらい 作ったパスワードでログインし 他の調査に答えてもらいました これで 5千個のパスワードを集めました また いくつかの異なるポリシーの下で パスワードを作って貰いました 人によっては ベーシック8 と呼ばれる とてもやさしいポリシーで 最低8文字のパスワードを作ることが ルールというものでした ある人は とても難解なポリシーを与えられました これは CMUのポリシーととても似ていて 最低8文字でなければならず 大文字 小文字 数字 そして記号を含み 辞書の検査に 通らなければなりません 非常に多くの調査の中 試みたポリシーを一つ上げると ベーシック16と呼ばれるもので 満たさなければならない条件は 最低16文字であるというだけです

こうして 5千のパスワードを獲得し はるかに詳細な情報を得ることができました 再び 私達は パスワードに ほんの少しの種類の記号しか 使われていない事を知りました また 私達は 作られたパスワードの セキュリティーの高さを 知りたかったのですが ご存知の通り パスワードの性能を測る 良い基準がありません ですので ハッカーが使うクラッキングツールを使い 又は 研究資料から得られる情報 を使い 又は 研究資料から得られる情報 を使い どの程度の時間で パスワードを解読できるかを 測定の基準にすることにしました

さて ハッカーがどのようにパスワードを解読するか 少しお教えしましょう 彼らは 全てのパスワードが暗号化された ハッシュと呼ばれる パスワードファイルを盗み パスワードを推測し それに対して ハッシュ関数を実行し その結果が 彼らが盗んだ パスワード リストのハッシュと 一致するか調べるのです 馬鹿なハッカーは 全てのパスワードを 順番に試していきます AAAAA から始まり AAAABを次に試すように この作業は 実際誰かが使っていそうな パスワードに辿り着くまでに すごい時間を費やします 一方 賢いハッカーは もっと賢い方法をとります 彼らは 盗んだパスワードの一覧から よく使われているとされている パスワードを調べます 最初にそれらを推測するのです "password" を推測することから始め "I love you" や "monkey"や "12345678" などを推測するわけです なぜなら 皆が使っている 可能性が高いパスワードがあるからです 実際に あなた方のうち何人かは これらのパスワードを使っているでしょう さて ご説明したテストを 収集した5千のパスワードで実行して セキュリティーの強度をチェックしたところ 長いパスワードは 実際 安全性が高いこと そして 複雑なパスワードも 安全性が高いことが分かりました しかしながら 調査データを見ると 人々は複雑なパスワードに 苛立ちを感じていることがわかりました そして 長いパスワードの方が より使いやすく 場合によっては 複雑なパスワードより 安全性が高い事がわかりました これは パスワードに 記号や数字を入れたり 複雑な事をお願いするよりも ただ 長いパスワードを作るように お願いした方が良いかもしれないという事を 意味しています ただ ここで問題があります 人によっては そんなに安全性の高くない 長いパスワードを使っていた事です ハッカーが 簡単に推測できる 長いパスワードを作ることもできてしまうので 長いパスワードを作ることもできてしまうので 長いというだけではダメなのです 何か 追加の条件が必要なのです 現在 私達が継続している研究のひとつは どのような追加条件を付け加えると 簡単に覚えられて タイプできる 安全性の高いパスワードを 作れるかです

安全性の高いパスワードを作る事のできる 他の手段として パスワードメーターがあります ここにいくつかの例を上げます パスワードを作成するとき インターネットでこれらを 見たことがあるかもしれません 私達は これらのパスワードメーターが 実際 機能しているか調査することにしました メーターは安全性の高い パスワードを作るのを助けているのか そうであれば どのメーターが良いのか? 私達は色々なパスワードメーターをテストしました 異なる大きさ 形 色 メーターの横の言葉が違うもの ウサギが踊る メーターさえも テストしました 良いパスワードであればあるほど ウサギのダンスが早くなります これは結構面白かったかったですよ

調査の結果 パスワードメータは 機能しているという事が分かりました (笑) ほとんどのパスワードメーターは 有効です ウサギが踊るメータも効果的でした しかし 最も効果的なパスワードメーターは メーターがOKをだすまで パスワードを考える努力を強制するというものでした パスワードを考える努力を強制するというものでした 今日インターネット上にある パスワードメーターのほとんどは優しすぎるのです パスワードメーターのほとんどは優しすぎるのです メーターは OKを 早く出しすぎているので OKサインを出す前に もう少し待つように設定されていたら より良いパスワードになっていたことでしょう

良いパスワードを作るもうひとつの方法は パス’ワード’の変わりにパス’フレーズ’を使うことです これは 2年前の xkcd の漫画です この漫画家は パスフレーズを使うことを推薦しています そして2行目を見ていただくと 漫画家はこう言っています 「correct horse battery staple」 は (正解 馬 バッテリー ホッチキス) とても安全性の高いパスフレーズで そしてとても覚えやすいものだと 実際 あなたはすでに覚えたでしょう と 彼は言っています そこで 私達はこれが本当かどうか 研究することにしました 実際 私がパスワードの研究をしていると話した人 皆が 実際 私がパスワードの研究をしていると話した人 皆が この漫画の事を指摘しました 「おー xkcdの漫画 見たことある? 正解 馬 バッテリー ホッチキス」 そこで 実際どうなのか 調査しました そこで 実際どうなのか 調査しました

調査には 再びメカニカル タークを使い コンピュータに パスフレーズのランダムな単語を 選択させました こうした理由は 人間はランダムに単語を選ぶのが 苦手だからです 人に これをお願いすると そんなにランダムではない単語を選んでしまうのです 私達はいくつか違う条件を試しました ひとつは コンピュータに 辞書の中から良く使われる英単語を 選択させるようにしました この様なフレーズです "try there three come" 私達は これを見て こう言いました 「うむ これはあまり覚えやすそうにないな」 と そこで 私達は スピーチの特定の部分の 単語を使うことを試みました すなわち 名詞‐動詞‐形容詞‐名詞 というような 何か 文章のようなもので 以下の様なパスフレーズです "plan builds sure power" や "end determines red drug" です これらは 覚えやすそうで 人々に もう少し 好まれそうに見えました 私達は これらをパスワードと比較したかったので コンピュータに ランダムな パスワードを選択させました これらは とても短いですが ご覧の通り 覚えやすそうには見えません 次に 私達は 発音できるパスワード というものを試すことにしました コンピュータがランダムな音節を選択し それを 発音可能になるように組み立てます それを 発音可能になるように組み立てます "tufritive" や "vadasabi"ように 発音しやすいようなものにするのです これらが コンピュータによって作られた ランダムなパスワードです

この研究で発見したことは 驚いたことに パスフレーズは そんなに良いものではないということでした 人々は ランダムなパスワードよりも パスフレーズを 覚えることに関して そんなに長けてはいなかったのです なぜなら パスフレーズは長く 入力に時間が掛かるので タイプする時に間違ってしまうからです ですので パスフレーズの 圧勝というわけにはいきませんでした xkcd ファンの皆さん ごめんなさい 一方 私達は 発音可能なパスワードが 驚くほど 上手く機能していることが 分かったので 意外に 上手く機能していることが 分かったので この方法を さらに機能的にすることが出来るか もう少し研究をすることにしました 私達が行なった いくつかの研究の中での 問題のひとつは 私達が行なった いくつかの研究の中での 問題のひとつは これら研究全てで メカニカル タークが使われていて これら研究全てで メカニカル タークが使われていて 実際のパスワードではないことです メカニカルタークで作ったものか コンピュータが研究用に作った物なのです 私達は 一般の方々が実際 本当のパスワードで 同じような行動を取るか知りたいと思いました

そこで 私達は カーネギーメロンの 情報セキュリティー オフィスに 学校 皆のパスワードを調査できないか尋ねました 予想通り 彼らは私達に見せることを 少し躊躇していましたが 何とか 彼らと共に あるシステムを 成立させました 大学の生徒 教員 職員 2万5千個のパスワードを 鍵をかけた部屋にある ロックされたコンピュータに入れ インターネットから遮断した上で パスワードを解析する為に私達が書いた コードを彼らに実行してもらいました 彼らは 私達のコードを検閲し コードを実行しました ですので 私達は実際に 誰のパスワードも見ていません

研究から 面白い結果を得ました 後ろにいる テッパーの学生には とても興味深いものだと思います コンピュータサイエンス学部に属している 学生が作ったパスワードは 経営学部の学生のものより 1.8倍安全性が高いことが分かりました 私達は また とても興味深い 人口学的情報も たくさん得ることができました 他に 発見した興味深いことは メカニカルタークで作成されたパスワードと カーネギーメロンのパスワードを比較したとき それらはとても似ていたことです これは 研究方法を実証する助けとなり メカニカルタークを使ってパスワードを集める事は 研究に正当な方法である ことを示していました これは 良いニュースでした

さて 去年 私が大学の芸術学部で 研究休暇を取った時の事を お話して終わりにしたいと思います 私がやった事のひとつは たくさんのキルトを作った事です ここにあるキルトも作りました 「セキュリティー ブランケット」といいます (笑) このキルトにはRockYou サイトから 盗まれたパスワードのうち最も頻度の高い 千個のパスワードが縫いこまれています そして パスワードの大きさは 盗まれたデータセットの中に 現れる頻度に比例しています 私は これらの単語のワードクラウドを作り 千個全ての単語を見直し 大体のテーマ別のカテゴリーに 分類しました 大体のテーマ別のカテゴリーに 分類しました 時として どのカテゴリーに属すか 判断するのが 難しい物もありました そして 私は それらを色分けしました

これらが 難しかった例のいくつかです 例えば "justin" これは ユーザーの名前でしょうか 彼氏 又は息子の名前でしょうか? ジャスティン ビーバーのファンかもしれません あるいは "princess" ニックネームでしょうか? ディズニー プリンセスのファンでしょうか? ひょっとしたら 猫の名前かもしれません 「Iloveyou」 は 色々な言語で よく見受けられました パスワードには愛が込められているのです 注意深く見ていると みだらな言葉が 使われているのも見受けられます でも 憎しみよりも はるかに多くの 愛の言葉が パスワードに使われていることは とても興味深いことです そして 動物 多くの動物の名前が使われています 「monkey」 (サル)は最もよく使われる動物で 全体の人気パスワードの中でも14位に入ります 私はこれをとても興味深く思い 「なぜ サルがこんなにも人気なのか?」 と疑問に思いました ですので 最後の研究に "monkey" と パスワードに入れた人を探し なぜ サルをパスワードに入れたのか 尋ねることにしました そして分かったことは -今のところ 「サル」の単語を使ったと思われる 人を17人を見つけました- 約1/3の人はペットに“サル"と名付けた 約1/3の人はペットに“サル"と名付けた 又は “サル" というあだ名の友達がいる ということでした そして 他の約1/3は サルが好きで 可愛いいと 思っている言っていました 彼は 本当に可愛いですね

結局のところ 私達はパスワードを作るとき 入力するのがとても簡単なもの ありがちなパターン "password"という単語や あるいはアカウント名を連想するもの など脆弱なものを選んでしまうのです もしくは 私達を幸せにしてくれるものを思い浮かべ それをもとに パスワードを作ります こういったパスワードは 覚えやすくて入力するのも楽しいのですが 同時に簡単に破られてしまいます 同時に簡単に破られてしまいます ですので TED Talksの多くは とても感動的で 私達に 素敵で 幸せな事を考えさせてくれますが パスワードを作るときは 他の事を考えて作るようにしてください

ありがとうございました

(拍手)

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook


著者の簡単なプロフィール

河本孝之(かわもと・たかゆき / Takayuki Kawamoto)

大阪市内のベンチャー企業で Chief Privacy Officer(個人情報保護管理者)として、情報セキュリティにかかわるマネジメントや社内システム、ネットワーク全般の運用を担当。1968年、東京都目黒区生まれ。神戸大学大学院博士課程中退(科学哲学専攻)。日本科学哲学会所属。Twitter アカウントは @identifiable_me