トップページ » IT » IT業界/サービス » Microsoftのパスワードチェッカーは使用しないように

Microsoftのパスワードチェッカーは使用しないように

Microsoftのパスワードチェッカーは使用しないように:IT業界/サービス

マイクロソフトがネットでパスワードチェッカーを公開しているそうなのですが、これって使う人いるのかなぁ、と言うより、使ってはいけないのではないかと思います。
ニュースソースは安易なユーザー名とパスワードのワースト10、Microsoftが発表(ITmedia エンタープライズ) - Yahoo!ニュースです。

 米Microsoftは11月27日のブログで、自動化された攻撃の標的となりやすい安易なユーザー名とパスワードのワースト10を発表した。
はまだ良いとしても、
 こうした攻撃に遭ってパスワードを破られないためにも、数字と文字と特殊記号、大文字と小文字を組み合わせた長いパスワードを作ることが望ましいと Microsoftは言い、同社が提供しているパスワードチェッカーのページで、自分が作ったパスワードの強度を調べてほしいと促している。
は、言ってみればパスワード収集ツールですよね。 もしも、Microsoftで、アクセス元IPアドレスと入力されたパスワードを保持していたとすれば、それだけでも、「あるIPアドレスの利用者が実際に使っているパスワード」情報になってしまいます。 最近は、ADSLや光回線の利用者も多くなっていて、24時間つなぎっ放しで、IPアドレスがほぼ固定になっている人も少なくないでしょう。 これが流出したら、けっこうな被害になるのではないでしょうか。

ニュースソースにMicrosoft社のパスワードチェッカーのURLが掲載されていないことが、せめてもの救いかも知れません。

■2013/4/14追記(上述の部分は、元記事の公開時点から変えていません)
コメント欄より、Microsoftのパスワードチェッカーは「インターネットでパスワードが送信されることはない」と記載があること、「パスワードチェックはローカルPCで行われている」というご指摘をいただきました。
当方でも、実際にMicrosoftのパスワードチェッカーサイトにアクセスして、「インターネットでパスワードが送信されることはない」旨の記述があること、そして、「オフラインの状態でもパスワードチェック機能が動いている」(微妙に表現を変えているのは、意図的です)ことの確認をしました。
上記にて当方が心配していた懸念は、現時点ではどうやらなさそうな感じでした。

しかしながら、Microsoftのパスワードチェッカーサイトの利用を推奨する気にはなれないというのが正直なところです。
どうしても利用されるのであれば「自己責任で」というのが当方の立場です。

推奨する気になれない理由は、下記です。
・現時点の仕様が、未来永劫変わらない保証はないこと。
・フィッシングサイトが出現する可能性を否定できないこと。
・「オフラインで動作する」ことは、「オンラインでパスワード情報が送信されない」ことの証明にはならないこと。

そもそも、マイクロソフトのようなIT業界で最大手企業の一つと目される企業の行なうべきことは、パスワードチェッカーを提供することではないと、当方は考えています。
最近は、「サイトAから流出したパスワードで、サイトBに不正ログインが行なわれたらしい」という話もしばしば耳にするようになり、「サイトごとに異なるパスワードを利用しよう」という主張はしばしば聞かれます。面倒だとは思いますが、自衛のために、サイトごとに異なるパスワードを使い分けるべきだと思います(実際、当方はそうしています)。
そうした状況下で、「M社のパスワードチェッカーで、A社のサイトで使うためのパスワードの強度を確認する」行為が正当化されるのは、良くない風潮だと考えます。
別に、M社がどうという気はなく、G社でもF社でもT社でも、同じことです。
話を元に戻すと「マイクロソフトのようなIT業界で最大手企業の一つと目される企業の行なうべきこと」は、「安全そうだからと言って、他のサイトのページに対して安易にパスワードを入力してはいけない」とユーザに対して啓蒙することだと思います。オンラインパスワードチェッカーを提供することは、それに逆行することだと考えます。

> それを漠然とした不安で否定されてしまったとしたらもったいない話でしょう。

申し訳ありませんが、「オフラインで動くことを見ても」、やはり、当方は「もったいない」とは感じません。
パスワードの安全性を確保するための手段として、オンラインサイトで提供されるパスワードチェッカーを使うことは、推奨されるべきではないと考えています。

by 管理人  at 23:38
この記事のカテゴリ
以下のリンクから関連する記事をお読みいただけます。

コメント(承認制です)
  1. 上記のようなセキュリティ意識を持つことは間違いなく正しいと思います。ただ、若干ご認識が正しくないところがありますので、コメントさせていただきます。

    当該サイトには、「インターネットでパスワードが送信されることはない」旨、記載があります。記事は古いエントリなので、2009年当時のパスワードチェッカーがパスワード収集有無についてどう謳っていたかは存じませんが、今とそんなに変わることはないのではと思われます。勿論、それが本当かは分からないというセキュリティ意識も間違いではありません。

    さて、ためしに当該サイトを表示したあとにブラウザをオフライン設定にしてから適当に入力してみて下さい。LANケーブルを外すなどでも良いです。結果として、パスワードチェックはローカルPCで行われていることが分かります。

    つまり、オフライン設定でだけ使えばセキュリティ上問題もなく、破られやすいパスワードかどうかをチェックできる手段となります。それを漠然とした不安で否定されてしまったとしたらもったいない話でしょう。

    by Decade  2013年4月14日 10:37
  2. Decade様、ご指摘ありがとうございます。
    本文末尾に追記することで、返信に替えさせていただきます。

    by 管理人  2013年4月14日 17:20
コメントを書く



(公開されません)


保存しますか?


(書式を変更するような一部のHTMLタグを使うことができます)

(誹謗中傷にあたるコメント、及び的外れなコメントは、受信されません。)

「Microsoftのパスワードチェッカーは使用しないように:IT業界/サービス」について解説しています。