Webサービスなどのユーザー認証に使われているパスワード。「パスワードの使い回しは厳禁」といわれている現状、多くのユーザーは複数のパスワードを利用しているだろう。このため、パスワードの1つや2つ、忘れてしまっても無理はない。そこで今回は、どうしても思い出せない場合の対処方法の1つを紹介しよう。

救済手段がない場合にどうするか

 ほとんどのWebサービスはパスワードを忘れたユーザーのために、「パスワードをお忘れの方へ」といったリンクを用意している。リンクをクリックするとあらかじめ登録したメールアドレスの入力欄が表示される。そこに正しいメールアドレスを入力すると、パスワードをリセットするリンクが記載されたメールが送られてくる。

 「秘密の質問と答え」を用意しているWebサービスもある。秘密の質問に対してユーザーがあらかじめ設定した答えを入力すると、パスワードを再設定できるようになる。

 ちなみに「秘密の質問と答え」の仕組みはセキュリティー上の問題がある。SNSなどで調べれば、第三者でも答えが分かる可能性があるからだ。このため情報処理推進機構(IPA)などは十分注意するよう呼びかけている。

 だが、こういった救済手段が用意されておらず、パスワードやパスワードのヒントをどこにもメモとして残していない場合、ユーザーは記憶をたどるしかない。そのときに役立つかもしれないのが「expandpass」というプログラムだ。米ウィスコンシン大学のソフトウエア開発者であるPhil Dougherty氏が開発した。

思い当たる文字列を組み合わせる

 みなさんはどうやってパスワードを作っているだろうか。自分になじみがある文字列や数字、任意の記号などを独自に組み合わせて作っているユーザーは多いだろう。少なくとも筆者はそうだ。

 そうではないユーザーは今回の記事の対象外になる。例えば「辞書に載っている単語1つをパスワードにしている」や「自分の電話番号の末尾4桁をパスワードにしている」と力強く言えるユーザーは対象外だ。そもそもそういったユーザーは容易に不正アクセスされることはあっても、パスワードを忘れる可能性は小さいだろう。

 パスワード管理ソフトウエアなどで生成した疑似乱数をパスワードにしているユーザーも対象外である。ソフトウエアなどの不具合でそういったパスワードが失われた場合の助けにはならない。

 今回の記事は、パスワードの作成の際に使った文字列や数字、記号などの要素を何となく覚えているユーザーが対象になる。Dougherty氏もそのために開発したとしている。

 後述するexpandpassの公開サイトでは、「expandpassは単純な文字列拡張プログラムである。うろ覚えのパスワードをクラッキングする(破る)のに有用だ」と説明している。

 著名なセキュリティー研究者であるBruce Schneier氏は自身が発行するメールマガジンCRYPTO-GRAMの2019年10月号で「パスワードについて覚えていることを伝えると、パスワードの可能性が高い文字列を生成するプログラム」と評している。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が2020年1月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら