パスワードの文字数と不正アクセスの関係〜パスワードを1文字増やせば解析されにくさは50〜100倍高まる
パスワードを1文字増やせば解析されにくさは50〜100倍高まる
10年前(2008年)、パスワードは、英数記号を組み合わせれば、10文字もあれば解析に1000万年かかるといわれていた。
そのため、銀行でもその他のウェブサービスでも最大8文字しかパスワードを設定できない時代が長く続いた。
現在(2018年)では、10文字なら10日で解析できる。(小規模の犯罪集団の場合)
*市販のコンピュータ 3GHz 16コア 100台でパスワード解析した場合の平均時間(小規模の犯罪集団)
*3GHz 16コア 1000台で解析した場合は、1日で解析できる。(北朝鮮など国家単位または大企業単位)
(参考)
・パスワード文字長ごとの解析平均時間(小規模の犯罪集団の場合)
| パスワードの文字数 | 犯罪者(小規模集団)によってパスワードが解析されるまでの平均時間(日) |
|---|---|
| 10文字 | 10日 |
| 11文字 | 715日 |
| 15文字 | 17,171,446,433日(4700万年) |
| 20文字 | 2.886005e+19日(8京年) |
*2018年に市販されているコンピュータでパスワード解析した場合の値。
*将来を考えるとパスワードは20文字以上にしたほうがよい。ただし、量子コンピュータが実用化され手軽に手に入るようになる20年後(2038年)には任意の文字列でセキュリティを保つことはできなくなるので、パスワード自体が使われていない。
*パスワードの強度を測る上での大まかな目安とされたし。
コンピュータの性能が上がれば、安全なパスワードの概念は変わる。
ネット上の古い情報を見て、錯誤しないようにしてほしい。
パスワードは年々長くする必要があるのである。
私は、2段階認証がサポートされていないウェブサービスのパスワードは20文字以上に設定することを勧めている。
もちろん、大文字、小文字、数字、記号の4種類全てを用いる必要がある。
「自分は「@#\-*などの記号」をパスワードに含めているから大丈夫だ。」と過信している人が案外と多い。
記号をパスワードに含めたとしても10文字では10日で解析できるのだということを肝に命じてほしい。
文字種を多く用いることよりも、パスワード文字数の絶対数を1桁増やせば、解析難易度は50〜100倍難しくなる。
*通常、文字種が70種類(小文字、大文字、数字、記号10種類)とすると、パスワード長を1文字増やすと、70倍強度が高まる(解析が難しくなる)と考えられる。
20文字を超えるパスワードが望ましいが、1文字でも長いパスワードに変更することを強く勧める。
パスワードを自分の頭で記憶したいと思う気持ちはわかるが、それは現実的ではない。
ブラウザなどのアプリの記憶機能を使ったり、MacやiPhoneならiCloud上のKeychainに記憶させることをお勧めする。
そのため、なんらかのコンピュータトラブルでパスワード情報が消えた場合のバックアップ復旧手段を事前に確認しておくことを忘れずにしておいてほしい。
逆に自分の頭で記憶できるようなパスワードでは簡単にハッキングされてしまうということを肝に命じてほしい。
| 2023年12月 | ||||||
| 日 | 月 | 火 | 水 | 木 | 金 | 土 |
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 | ||||||
iOS
web
?スA?スv?ス?ス?スフ抵ソス?ス??
?スu?ス?ス?スb?スN?ス`?スF?ス[?ス?ス?ス^?ステ搾ソス?スZ?スp
?スV?ス?ス?ス?ス?スミ会ソス
?スT?スE?ス?ス謨ァ?ス?ス
?ス?ス?ス{?スフなりた?ス?ス
