一躍世界中で大人気のゲームとなり、ニューヨーク・タイムズに買収されるに至った、隠された5文字の英単語を当てるというワードゲームの「Wordle」は、日本語版やバトルロイヤル形式の対戦型に改良されたバージョン、ポケモン特化型に漢字特化型など、さまざまな類似ゲームを生み出しました。そんな中、「隠されたパスワードを解析する」というまるでハッカーになったかのような気分が味わえる「Passwordle」が登場しています。

rsk0315.github.io/playground/passwordle.html
https://rsk0315.github.io/playground/passwordle.html

プレイ方法は簡単で、テキストボックスに英数字を入力するだけ。ヒントは皆無でパスワードの文字数すら不明なので、完全にランダムに入力した文字の羅列を入力してみたところ……

以下のように画面下部にヒントが出現しました。これは入力した文字の羅列を、アメリカ政府の諜報機関である国家安全保障局(NSA)が開発した暗号学的ハッシュ関数のSHA-256を用いてハッシュ値として出力したもの。出力されたハッシュ値はグレー・黄色・緑色で色分けされており、本家Wordleと同じように「正解パスワードのハッシュ値には含まれない値」がグレー、「正解パスワードのハッシュ値に含まれるものの位置が違っている値」が黄色、「正解パスワードのハッシュ値に含まれており位置も正しい値」が緑色で表示されているようです。

そもそもSHA-256は任意の長さの原文(今回の場合はユーザーが入力したパスワードの推測値)から固定長の値(ハッシュ値)を出力するというハッシュ関数。同じ原文からは必ず同じ値が得られる一方、少しでも異なる原文からは全く異なる値が得られるようになっています。そのため、例えば連番の数字を入力しても、全く異なるハッシュ値が得られるようになっており、素人目では何がヒントで何がヒントではないのか全く分からないレベル。

海外掲示板のHacker News上では、「これを送って笑ってくれるような人はほんのわずかいないくらいとてもニッチなゲームでしょう。でも、従来の常識では考えられなかったアイデアをゲームにしたものであり、私は大笑いしてしまいました」とニッチ過ぎるゲームではあるものの自分には刺さったと告白するユーザーや、「アルゴリズムはSHA-256と分かっているのですが、問題は答えのパスワードの長さが不明という点です。宇宙に存在する水素原子の数並みに多いかもしれませんし、12文字程度かもしれません。総当たり攻撃を仕掛けるか、実現可能な解決策を調べる必要があるでしょう」と論理的にパスワード解明に向けた提案をする声もありました。

さらには、「Passwordleが採用しているハッシュ値生成アルゴリズムのソースをチェックすることはとてもフェアなことだと思います。アルゴリズムのソースをチェックしたところ、答えとなるパスワードは14文字で、ランダムなアルファベット(72.8％)、数字(8％)、句読点(19.2％)で生成されるようになっていました」と、ソースを分析してパスワードが14文字であることを突き止めたユーザーもいます。ただし、同ユーザーはこれらのルールで生成できるパスワードの数があまりに膨大(約420じょ：『じょ』は1兆の2乗)なことから「つまり、あまり勝算はありません……」と記し、なかばパスワードの解析を諦めていました。