Oligur

• ニュース

AgileBitsの1Passwordは、データを安全に保つための素晴らしいツールです。単なるパスワードマネージャーにとどまらず、1Passwordは幅広いデータ（ウェブサイトのパスワード、ウェブ以外のデジタルアカウント、クレジットカード／デビットカード番号や金融機関の口座情報、ソフトウェアライセンス、機密情報を含むファイルなど）を暗号化して整理できます。

これらの機能はどれも素晴らしいものですが、1Passwordの最大の特徴は、ブルートフォース攻撃（ソフトウェアがパスワードの可能性のある組み合わせを次々と試すタイプの攻撃）からすべてのデータを安全に保つことができることです。このような攻撃を利用するパスワードクラッキングソフトウェアは、毎秒数千もの潜在的なパスワードを簡単に試すことができます。

1Password がこのような攻撃に耐えられるかどうかを調べるために、AgileBits は 1Password を最もよく知られているパスワードクラッキングツールの 1 つである John the Ripper でテストしました。

AgileBits は最近、John the Ripper やその他のパスワードクラッキングツールが 1Password のような特定の暗号化ツールを攻撃するように微調整できるという事実を含む、調査と背景情報の多くをブログで詳しく紹介しました。

ここで重要なのは、これらのツールが、ユーザーが1Passwordの設定時に設定したマスターパスワードを攻撃するという点です。1PasswordやAppleのFileVaultで採用されているような高度な暗号化技術に対しては、暗号化メカニズムを破ってデータを復号することは有効な攻撃方法ではありません。1Passwordのようなセキュアなシステムにおける主な脆弱性は、データの所有者（または承認された個人）がシステムのロックを解除するために必要な認証情報です。1Passwordの場合、それはマスターパスワードを意味します（他のシステムでは、ユーザーアカウントとパスワード、パスワードと併せて提示する必要がある物理トークンまたはデータトークンを使用する2要素認証、あるいは指紋などの生体認証データなどが考えられます）。

AgileBitsがJohn the Ripperをテストし、研究したのはまさにこのエントリポイントです。十分な時間があれば、John the Ripperは最終的にどんなマスターパスワードも解読できるようになります。1Passwordができることはせいぜい、複雑な計算をシステムに組み込むことくらいです。つまり、パスワードを入力するたびに必ず計算を実行するということです。大したことではないように思えるかもしれませんが、マスターパスワードが十分に長く、十分にランダムであれば、実際に機能します。

これらはどちらも解決策の重要な要素です。パスワードが長くなるほど、クラッキングツールが正しいパスワードを推測するために必要な推測回数が増えます。推測ごとに数千、数万もの複雑な計算を積み重ねれば、攻撃を阻止することが可能になります。より正確に言えば、クラッキングツールがあらゆる組み合わせを試すまでに数日、数週間、数年、数世紀、あるいは数千年もかかるようにすることで、攻撃を効果的に阻止できるレベルまで速度を落とすことができます。

この概念を日常的な用途に当てはめると、AgileBitsは複数単語のパスワードを使用し、単語は完全にランダムにすることを推奨しています（同社が提案する、単語を選択する際にサイコロを振るという方法は、真にランダムな方法の一つです）。下のタブレットに示されているように、7単語のパスワードは解読に何兆年もかかります。4単語のパスワードでも、解読には数十年、あるいは数世紀かかるため、十分です。

出典: AgileBits
画像: AgileBits