セキュリティ研究家がこれまで集めた1000万件の(本物の)パスワードを一般公開

セキュリティ研究家のMark Burnettが、ユーザ名とパスワードのセット1000万件を収めたtorrentファイルを公開した。それは彼がWeb全域のオープンなWebサイトから集めた、比較的匿名化されているデータの集まりだ。それらのパスワードとユーザ名は古くて、その多くは使われていないと思われるが、いちばん重要なのは、Burnettがそれらを、“誰でも検索エンジンで見つけることができて、誰もがプレーンテキストで入手できる(ハッシュされていないし暗号化もされていない)ので、これまでも、コンピュータシステムに不法アクセスしようと思う者が盗もうと思えば盗めたものである”、ことだ。

彼がそれを集めたのは、彼のパスワード研究の一環としてだ。パスワードの振る舞いは不透明である。なぜそんなパスワードが選ばれたのかよくわからないし、またWeb上におけるパスワードの強度を客観的に評価する方法もない。企業はいつも、うちのパスワードデータベースは安全だと言うが、その言葉には根拠がない。しかも、いちばん多く使われているパスワードが”password”だから、そんなものが安全であるはずがない。

Burnettは次のように書いている:

学生たちやセキュリティの研究者たちから、私のパスワード研究データのコピーを求められる機会が多い。パスワードを共有することはお断りしているが、しかしそれでも、問題のない、きれいなデータ集合なら公開したいと思っていた。よく注意して選んだデータ集合は、パスワードにまつわるユーザの行為を知る手がかりになるし、パスワードのセキュリティをより強化するためにも役に立つ。そこで、1000万件のユーザ名とパスワードを集めたデータ集合を作り、パブリックドメインに公開することにした。

そのデータ集合は、ここでダウンロードできる。

Burnettはこれらのパスワードを公開するにあたり、相当悩んだらしい。まず、これは技術的かつ学術的な行為だが、それに対する法律がどうなっているのか、よく分からない。議員などに聞いても、明快な答は得られない。しかも自分の研究の一部を一般公開することには、リスクが伴うかもしれない。ジャーナリストのBarrett Brownが投獄されたことを見ても、セキュリティを扱う場合は自分の言動によほど用心しなければならない。今回の件は、違法にあたるとはまったく思えないにしても。

というわけで、1000万件のパスワードを見ながら、自分を反省しよう。今使ってるパスワードの、どこがまずいのか? ところでぼくは、超安全なパスワード“ILovePizzaAndBeerLakers2015!”を、捨てる気はないけどね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))