4桁暗証番号に関する学術的研究、“1234”など規則的な番号と誕生日は危険

　人間が選んだ4桁の暗証番号はどれほどの確率で破られるのかを示した学術的な研究が、論文として公開された。

　4桁暗証番号の強度に関する研究は既に行われているが、実在の人間が選択した4桁の暗証番号との間には違いがある。実際の人間が選択した暗証番号が破られる可能性についての学術的研究は、意外なことに「これまで存在しなかった」としている。

　この研究は、英ケンブリッジ大学コンピュータラボラトリー部門の研究者Joseph Bonneau氏、Soren Preibusch氏、Ross Anderson氏によって行われ、来週のFinancial Cryptography Conferenceで発表予定だ。現在発表予定の論文がPDFファイルとして公開されている。

　研究結果の結論としては、「1234」のような規則的な数字上位100個と誕生日は、4桁の暗証番号として使用しないことを強く勧めている。もしキャッシュカード所有者の誕生日がわかれば、泥棒は盗難財布11から18個に1つの割合でキャッシュカードを使用できると推定している。

　この研究の出発点として、人間が実際にパスワードとして選んだ4桁の数字を入手することが必要となった。3氏はこのためにソーシャルゲーミングサイト「RockYou」から流出した4桁暗証番号訳170万件と、iPhone開発者Daniel Amitay氏が入手したiPhoneアンロックコード約20万件の提供を受けた。

　また、実際に銀行で使用されている暗証番号は当然ながら入手できなかったために、Amazon Mechanical Turkを使ってインターネットユーザー1300人に対する調査を行い、実際の暗証番号をどのように選択するかを調査した。この調査結果も公開されている。

　その結果として、人々は意外にも注意深く暗証番号を選択していることが明らかになった。

　4桁暗証番号全体の63.7％は、統計的にはほぼ乱数といえ、推測によって破ることは難しいものだった。これらの暗証番号の選び方としては、使わなくなった電話番号、学籍番号、政府や会社支給のID番号等を参考にしていた。

　さらに5％は「4545」などの規則的な数列、9％はテンキー上の図形パターンを利用していた。残念なことに、残る23％は日付を暗証番号として使用しており、このうち約3分の1は自分自身の誕生日を使用していた。

　誕生日は、財布等のどこかで記されている場合が多いため、盗まれた場合にキャッシュカードを使用されてしまう可能性が飛躍的に増加する。研究者たちは、一般利用者に対しては決して誕生日を暗証番号として使用しないことを強く推奨している。

　またカード発行銀行に対しては、利用できない暗証番号のリストを実装することを推奨している。いまだにいくつかの大手銀行はこうした対策を行っていないと批判しており、弱い4桁暗証番号上位100個を挙げ、これらを禁止するように推奨している。

　利用を禁止すべきとしている暗証番号は、0000、0101～0103、0110、0111、0123、0202、0303、0404、0505、0606、0707、0808、0909、1010、1101～1103、1110～1112、1123、1201～1203、1210～1212、1234、1956～2015、2222、2229、2580、3333、4444、5252、5683、6666、7465、7667。