パスワードについて

2013年4月26日 Category - 技術情報 Comment : 0

一昔前では、パスワードは半角英数字で大文字小文字交えて最低６桁で８桁あれば問題無いと言われていましたが、今はどうなのでしょう？
色々な所で目にするのは、英字（大文字・小文字は区別）と数字と記号の組み合わせで８桁以上という所でしょうか。

では本当にその程度の組み合わせで安心できますか？

独立行政法人情報処理推進機構が2008年10月に出した記事に、「文字数と入力桁数によるパスワードの最大解読時間」というのを出しています。それを見ると、

１：英字(大文字小文字の区別無)のみで文字数は２６文字
２：英字(大文字小文字の区別有)＋数字で文字数は６２文字
３：英字(大文字小文字の区別有)＋数字＋記号で文字数は９３文字

の３通りの条件で実際に解読したら

・パスワードが４桁の場合
１：３秒
２：２分
３：９分

・パスワードが６桁の場合
１：３７分
２：　５日
３：５４日

・パスワードが８桁の場合
１：１７日
２：５０年
３：１千年

・パスワードが１０桁の場合
１：　３２年
２：２０万年
３：１千万年

という結果になったそうです。
（使用したプロセッサ：Intel Core 2 Duo 2GHz）

英字と数字の組み合わせで８桁なら５０年かかるし問題無いとか思ったらダメですよ。
そもそも最大解読時間であって、どんな組み合わせでも５０年かかるわけではありませんし、プロセッサの性能も５年経てば数倍高速になっていますから、もっと時間が短くなっています。

また、パスワードの付け方にも人の癖があり、類推しやすいんだそうです。
例えば、
・１つ以上の母音が含まれていることが多い
・数字はたいてい「1」か「2」が使われパスワードの最後に付く
・大文字があるならパスワードの最初の文字
・記号は「~」「!」「@」「#」「$」「%」「&」「?」が多い
・人が使う言葉は平均5万〜15万語でこれをパスワードに使用
・女性は個人名をよく使う
・男性は趣味にまつわるものが多い
などなど

こういう所からパスワード辞書なるものを作り解析時間を短くする方法もあって、John the Ripperというのが有名です。これは他にも、IDとパスワードが同じかどうかとか、パスワードの１文字目に使われやすい文字があるかどうかなど様々なパターンも辞書に含んでいるそうです。

ということで、安全なパスワードはパスワード生成ツールを使って、英字＋数字＋記号を含む９桁以上のものを作るのがよさそうですね。（まぁ覚えるのが大変ですが。）

ついでに、自分のパスワードが安全かどうかを調べるサイトで安全度を調べてみるとおもしろいかもしれませんね。

http://howsecureismypassword.net/

ここにアクセスして適当にパスワードを入力してみましょう。
私の場合は、１年でパスワードが破られるみたいです。(^^;