最近、いくつかの企業がパスワードをプレーンテキスト形式で保存していることを認めました。これは、メモ帳にパスワードを保存し、それを.txtファイルとして保存するようなものです。パスワードはセキュリティのために暗号化、ハッシュ化されるべきなのに、なぜ2019年はそうならないのでしょうか。

なぜパスワードは平文で保存できないのか

designer491/Shutterstock

企業がパスワードを平文で保存している場合、パスワードのデータベースや他のファイルに保存されているパスワードがあれば、誰でもそれを読むことができます。ハッカーがこのファイルにアクセスすると、すべてのパスワードを見ることができる。

パスワードを平文で保存するのは、とんでもない行為です。企業は、パスワードを暗号化し、ハッシュ化する必要があります。これは、「パスワードに余分なデータを追加し、それを逆引きできない方法で暗号化する」という言い方の別の言い方です。通常、これはデータベースからパスワードを盗まれても、使用できないことを意味します。ログインする際、会社はあなたのパスワードが保存されているスクランブルバージョンと一致するかどうかを確認することはできますが、データベースから「逆算」してパスワードを割り出すことはできません。

では、なぜ企業はパスワードを平文で保存するのでしょうか。残念ながら、こうした企業はセキュリティに真剣に取り組んでいないことがあります。あるいは、利便性のためにセキュリティを危険にさらすことを選択するのです。また、企業がパスワードを保管する際に、正しいことをすべて行っているケースもあります。しかし、パスワードを平文で記録するという大袈裟なログ機能を追加されるかもしれない。

複数の企業でパスワードが不適切に保存されていた

Robinhood、Google、Facebook、GitHub、Twitterなどは、パスワードを平文で保存しているため、悪質な行為に及んでいる可能性があります。

例えば、Googleの場合、ほとんどのユーザーのパスワードを完全にハッシュ化し、塩漬けにしています。ただし、G Suite Enterpriseアカウントのパスワードはプレーンテキストで保存されます。同社によると、これはドメイン管理者にパスワード回復のためのツールを提供していた頃の名残りだという。Googleがパスワードを正しく保存していれば、このようなことは起こりえなかったでしょう。パスワードのリセット処理のみ、パスワードが正しく保存された後に回復することができます。

Facebookもパスワードを平文で保存していたことを認めた際、正確な原因は明かさなかった。での後日アップデートから問題を推察することができます。

...Instagramのパスワードが読み取り可能な形式で保存されているログが追加で発見されました。

企業が最初にパスワードを保存するとき、すべてが正しく行われることがあります。そして、問題の原因となる新機能を追加する。Facebookのほか、Robinhood、Github、Twitterでも平文のパスワードが誤って記録されています。

ログは、アプリケーション、ハードウェア、あるいはシステム・コードの問題を発見するのに非常に有効です。しかし、このロギング機能を企業が徹底的にテストしないと、解決するどころか、より多くの問題を引き起こす可能性があります。

FacebookやRobinhoodの場合、ユーザーがログインのためにユーザー名とパスワードを提供すると、ログイン機能では、入力されたユーザー名とパスワードを確認し、記録することができます。このログは別の場所に保存されます。このログにアクセスできる人は、アカウントを乗っ取るために必要なものをすべて持っているのです。

T-Mobileオーストラリアのような企業では、セキュリティの重要性が見落とされることが稀にあり、時には利便性の名の下に見落とされることがあります。Twitterが削除された後のある取引では、T-Mobileの担当者がユーザーに対して、同社がパスワードを平文で保存していることを説明しました。このようにパスワードを保存することで、***担当者はパスワードの最初の4文字を見て確認することができるようになりました。他のツイッターユーザーが、同社のサーバーにハッキングされたら大変だと適当に指摘すると、担当者はこう答えた。

もし、私たちのセキュリティが驚くほど優れているので、このようなことが起こらなかったらどうでしょうか？

同社はこのツイートを削除し、その後、すべてのパスワードを近日中に暗号化・ハッシュ化すると発表した。しかし、同社が何者かに侵入されるのに時間はかからなかった。t-Mobileは、盗まれたパスワードは暗号化されていると述べたが、それはハッシュ化されたパスワードほど良いものではないという。

企業はパスワードをどのように保存すべきか

企業はプレーンテキストのパスワードを保存してはならない。その代わり、パスワードは塩漬けにしてからハッシュ化する必要があります。ソルティングとは何か、暗号化とハッシュ化の違いについて知っておくことは重要です。

塩漬けは、パスワードに余分なテキストを追加します。

塩漬けパスワードは簡単な概念で、基本的に提供されたパスワードに余分なテキストを追加する処理です。

通常のパスワードの末尾に数字や文字を追加するようなものだと考えてください。パスワードとして「Password」を使用する代わりに、「Password123」と入力することもできます（これらのパスワードは使用しないでください）。システムがパスワードをハッシュ化する前に、パスワードに追加のテキストを追加します。

その結果、ハッカーがデータベースに侵入してユーザーデータを盗んだとしても、本当のパスワードが何であるかを特定することは困難です。ハッカーは、どの部分がソルトで、どの部分がパスワードなのかを知らない。

企業は、異なるパスワード間で塩漬けデータを再利用しないようにする必要があります。そうしないと、盗まれたり、壊れたりして、使えなくなる可能性があります。塩漬けデータを適切に変更することで、衝突を防ぐこともできます（詳しくは後述します）。

パスワードの暗号化は適切なオプションではありません

ハッシュ化は暗号化と混同してはいけない。

データを暗号化するときは、鍵に基づいて少しずつ変換していきます。鍵を知っている人がいれば、データを元に戻すことができる。a=C "というデコーダーリングで遊んだのなら、データを暗号化したことになる。A=C」を知っていると、このメッセージが単なるオヴァルティンの広告であることがわかります。

ハッカーがデータを暗号化するシステムに侵入し、暗号キーを盗むことに成功した場合、パスワードも平文になる可能性があります。

ハッシュは、パスワードを文字化けさせたコードに変換します

パスワードのハッシュ化は、基本的にパスワードを意味不明な文字列に変換するものです。ハッシュを見れば、誰でも面倒くさいと思うでしょう。Password123」を使用した場合、ハッシュによって「873kldk#49lkdfld#1」に変更される場合があります。企業は、パスワードをハッシュ化してからどこかに保存し、実際のパスワードが記録されないようにする必要があります。

このようなハッシュの性質から、パスワードの保存方法としては暗号化よりも優れている。暗号化されたデータを解読することはできますが、「復号化」することはできません。そのため、仮にハッカーがデータベースに侵入したとしても、ハッシュ化されたデータを解除するためのキーを見つけることはできない。

その代わり、あなたがパスワードを提出すると、彼らは会社が行うことをしなければなりません。 Saltパスワードの推測（ハッカーが使用するSaltを知っている場合）、それをハッシュ化し、ファイル上のハッシュと比較して、一致するものを取得します。Googleや銀行にパスワードを提出する際も、同じ手順で行われます。Facebookなど一部の企業では、スペルミスを「推測」するために余計な手間をかけることもあるようです。

ハッシュ化の主な欠点は、2人が同じパスワードを持っている場合、最終的にハッシュ化されてしまうことである。この結果を衝突といいます。これも、異なるパスワードを塩梅よく追加する理由です。完全に暗号化され、ハッシュ化されたパスワードは、一致する項目がありません。

ハッカーは最終的にハッシュ化されたデータを突破するかもしれませんが、ほとんどの場合、ありとあらゆるパスワードをテストして、一致するものがあることを祈るゲームです。それでも手続きには時間がかかるので、自分の身を守る時間を確保することができます。

情報漏えいを防ぐには

企業がパスワードを不正に扱うことを止めることはできません。残念ながら、これは必要以上に一般的なことなのです。たとえ企業がパスワードを正しく保存していても、ハッカーが企業のシステムに侵入し、ハッシュ化されたデータを盗むことができるかもしれないのです。

このような現実を踏まえ、パスワードの再利用は絶対にしてはいけません。その代わり、利用するサービスごとに異なる複雑なパスワードを設定する必要があります。そうすれば、たとえ攻撃者があるサイトであなたのパスワードを見つけたとしても、そのパスワードを使って他のサイトであなたのアカウントにログインすることはできなくなります。パスワードが推測しやすいほど、ハッカーはより速くハッシュ化プロセスを突破できるため、複雑なパスワードは非常に重要です。パスワードをより複雑にすることで、被害を最小限に食い止めるための時間を稼ぐことができます。

また、ユニークなパスワードを使用することで、この被害を最小限に抑えることができます。ハッカーがアクセスできるのはせいぜい1つのアカウントだけで、数十のパスワードより1つのパスワードの方が簡単に変更できる。複雑なパスワードは覚えにくいので、パスワードマネージャーの利用をお勧めします。パスワードマネージャーは、あなたに代わってパスワードを生成・記憶し、ほとんどすべてのサイトのパスワードルールに適応させることができます。

LastPassや1Passwordのように、現在のパスワードが漏洩していないかどうかをチェックするサービスもあります。

また、2段階認証を有効にするのも良い方法です。こうすることで、たとえハッカーがパスワードを漏らしたとしても、アカウントへの不正なアクセスをブロックすることができます。

企業がパスワードを不正に使用することを止めることはできませんが、パスワードとアカウントを正しく保護することで、影響を最小限に抑えることは可能です。

関連：パスワードマネージャーを使うべき理由と、その始め方