Microsoft Researchが公開しているTelepathwordsは同サーバ上に入力されたパスワードを送信しているため研究データに利用される可能性があります


Microsoft Research(通称、MSR)が、パスワード文字からパスワードが推測されやすいかどうかを確認できるTelepathwordsというサイトを公開しました。

Telepathwords: preventing weak passwords by reading your mind.

ユーザーは自分の利用しているパスワードを入力すると文字の推測(例えばpassときたら次の文字はwが来やすいなど)を知ることができ、パスワードの強度を測る目安となります。

131231_pa2

ライフハッカー日本版の記事にもされています。

そのパスワード、危険かも。あなたのパスワードが推測されやすいか判定できるサイト「Telepathwords」 : ライフハッカー[日本版]


ですが、同サイトで入力されたパスワードは同サーバに送信していることがわかります。

スクリーンショット 2014-01-07 23.47.59

また、同サイトではユーザーのクリックイベントやウィンドウのスクロールについても細かくロギングし同サーバに送信されています。

スクリーンショット 2014-01-07 23.54.05

実は、このことについては下の方のタブにまとめられて解説されています。

スクリーンショット 2014-01-07 23.52.34

要約すると、

入力されたパスワードから次の文字を予測するために入力途中のパスワードを送信し、文字予測のデータベースを利用している。データベースは非常に巨大なため、ブラウザにダウンロードさせることはできない。また、研究目的でマウスなどの動きもロギングしていてこのログにはパスワードは含まれていない。ログについてはカーネギーメロン大学でも利用することがある。ログ自体は暗号化されるから安心だよ。

といった感じで書かれています。

ここで言うログとはマウスなどの操作状況のことでパスワードの事ではありません。つまり、文字予測のために送信したパスワードについては何の言及もされていません。もちろん利用しているという証拠もないですし、おそらく許可してない利用者のパスワードデータを取得しても扱いに困るのでMSRがそのようなこともしてるとは考え難いですが、ここまできて言いたいのは

パスワード自体が弱いか強いかの前に、パスワードを入力してしまった人は危ない

ということです。

パスワードを完全秘匿に保つためにはこういうサイトでも安易に入力しないようにすることが大切です。