Linux系の成果品の中には、LiveCDの形で配布されているものがある。
つまり、時間のかかるインストールをしなくても、CD-ROMから起動して挙動を確認できるというメリットがある反面、セキュリティ上問題があることも指摘される。

たとえば、KNOPPIXというLinuxディストリビューションは、LiveCDで配布されており、一応手軽にLinuxが体験できるのが売り物だが、ハードディスクのNTFSパーティションにアクセスできるため、Windowsが起動しなくなったときのデータファイルサルベージ（救出）にも使われる。

これは別の面から見れば、パスワードがかかっているパソコンのデータを、ログインなしで盗むことが出来るということだ。実際にKNOPPIX使用で他人のファイルを盗んだ犯人がいた。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　（KNOPPIXの起動画面）

今回紹介するのは、オープンソースで開発され、LiveCDで配布されているパスワードクラックツールOphcrackである。
１年半ほど前に話題になったツールであるが、改めてパスワードクラックとその回避法について

一応、建前はパスワードの脆弱性を診断するツールであるが、逆に言えば脆弱なパスワードは簡単に解析されるということである。

起動すると、即座にパスワードクラックが実行され、英数字のみのパスワードだと数秒で解析されてしまう。
文字列総当り方式ではなく、テーブル参照方式なので非常に速い。

ophcrackはSAM（Security Account Manager）データベースのデータを読み取ってパスワードを解析する。つまりSAMにパスワードを保存しなければ、解析も回避できるのだが、そのために必要な処置として、Microsoftサポートオンラインによると

---------------------------------------------------------------------------
Windows でパスワードの LM ハッシュが保存されないようにする最も簡単な方法は、15 文字以上の長さのパスワードを使用することです。この場合、ユーザーの認証に使用できない LM ハッシュ値が Windows により保存されます。
---------------------------------------------------------------------------
とのことだ。

しかし、１５文字以上のパスワードを設定するユーザーは稀にしかいない。
ある会社では、急病で長期療養に入ったユーザーのパソコンに重要データがあって、これを利用しなければならないので、休んでいるユーザーに仕方なくパスワードを電話で聞いたら「1234」だと聞いて、皆呆れたという事例がある。いっそのこと無いほうがマシだと思えるくらい、ダメなパスワードである。

かといって、【sE!$pq+lIg9060A】というパスワードは、かなりのストロングパスワードであるが、覚えられないだろう。紙に書いてパソコン本体に貼り付けることになるのだから、無いのと同じである。

理想的なのは、覚えやすくて、かつ複雑なパスワードを設定し、定期的に変更するということだが、これは、知性も美貌もない女子が「金持ちの男を捕まえて玉の輿にのって、そのあとイケメンと不倫する」と言っているようなものである。言うは易く、実行は困難なのだ。

バークレー大学で開発研究されている、次世代OS 「PLAN9」では、パスワードという概念を事実上廃棄してしまった。重要なマシンは、厳重に施錠されたマシンルームで、警備員が銃で武装して守るということなのだ。

現実に運用可能な措置として最強なのは、ログインにおいては、生態認証＋パスワードという二重防御にすることである。

（編集部　長谷部雄二）