パスワードを脆弱にしている?「大文字と小文字を必ず使ってください」

ハッカーITニュース

インターネットの進化、SNSの普及によっていろんなところでパスワードを聞かれます。
パスワードを作るとき、面倒ではあるが、複雑にしたほうが安全なため覚えれる範囲で複雑化させます。

しかし、「複雑なパスワードにしたから絶対に安全」と思ってはいけない。
最近はサイト側でも「大文字」「小文字」、「数字」に「記号」を組み合わせてください。と求めてくる。
ルールに従ていてもパスワードを脆弱にしている可能性があるって知ってますか?

スポンサーリンク

パスワードの組み合わせは約6600兆個ある

米Webroot社の上級セキュリティアナリスト、Randy Abrams氏が簡単なテストを行った。
内容は、大文字と小文字、数字、記号を含む8文字で作成できるパスワードをすべて数えた。
その組み合わせは95の8乗通りで、計算すると6,634,204,312,890,625個、となり、約6600兆個になりました。

6600兆個も組み合わせがあるなら安全と思ってはいけない。
ハッカーは総当たり攻撃をします。もちろんコンピュータを使って、そうなると、1秒間に300億個のパスワードを試せるとした場合、
複雑な8文字のパスワードを破るには、約2日半になります。

しかし、パスワードを作るのにルールがある場合
Abrams氏は、その制約で組み合わせのうちの70兆6000億個が除外されると指摘しています。

なぜか、その制約で1文字から7文字の長さのパスワードがすべて無効とされるからです。
そうなると、パスワードを破るのに必要な時間が38分ほどになります。
1日あたり、40人近くのパスワードを破ることが可能になります。

「大文字と小文字を必ず使ってください」は結構危険

8文字のパスワードを利用する場合、安全を考慮して、大文字と小文字と記号を使うようにした場合はどうなるでしょうか。
一見複雑になるため、解読しにくくなるように思えるが、実はそうでもない。

Abrams氏が述べているように、すべて小文字のパスワードが除外されて、作成できるパスワードの数が18.5%減ってしまいます。
先の前提では、最長で2日ほどあれば、パスワードを探り当てられてしまいます。

さらに、大文字、小文字、記号、数字となった場合、複雑なようで、作成可能なパスワード数を41%ほど減らしてしまいます。
先の前提で最長時間は34時間、1日半ほどになる。

ならどうすればいいのか

短いパスワードを推測や総当たり攻撃しにくいものにすることを考えるより、長いパスワードを選ぶほうがはるかにいいとAbrams氏はアドバイスしている。

パスワードに制約を設けていても、その影響はずっと小さくなる。
パスワードに1文字追加するごとに、作成可能なパスワードの総数が急増していきます。
小文字のみで16文字のパスワードの組み合わせ数は4つの文字セット(大文字、小文字、数字、記号)すべてを使った8文字のパスワードの組み合わせ数の650万倍になる。

どういことか、「toodlesmypoodles」は「S81T@gla」よりもはるかに解読しにくくなる
たくさんの単語をつなぐパスワードのほうがより堅牢ということになります。

最もいい方法は

パスワード管理アプリ用に長いパスフレーズを使う(メジャーなフレーズでないもの)
さらに2段階認証で2重のセキュリティを加える。

そのあとで、パスワード管理アプリを使って、ほかのサービス向けの小文字、大文字、数字、記号をすべて混ぜた16文字以上のパスワードを作りだす。
というのがオススメです。
頭がおかしくなりそうですがね・・・・