パスワードの話

パスワードについては幾分都市伝説的にものすごい怪しげな理屈がまかり通っているので、ここで一考。

パスワードを盗まれる

パスワードを盗まれるというのは何も高度はハッキングやスパイ大作戦みたいなドラマ的なものではありません。パスワード漏えいで最も多いのがただ単に付箋に書いたパスワードだと言われています。これはおおいに盗みがいがあるし簡単です。パスワードの漏洩はだいたいこんなものです。
しかしここで注意です。

ewq321

こういうパスワードが書いてあったとします。しかしこれ、漏洩でも何でもありません。何に使うパスワードなのかさっぱりわからないからです。パスワードは入力先とセットでなければ使いようがありません。パスワードの漏洩はまず、

  • アクセス先
  • ログインIDやユーザー名など
  • パスワード

というセットになっていて、簡単に漏洩します。
ここでとてもまずいのは「付箋に書かれたパスワードはセキュリティー上よくない」といったバカバカしい考えの浅い一言です。パスワードは単体では何の役にも立ちません。ここら辺りですでに都市伝説がおきます。付箋に書いたパスワードには怨念がこもるとか。

難しいパスワード

よく乱数なんかで作る長いパスワードありますが、あれば必ずしも安全じゃないです。まず覚えられないので書いたり保存したりする人が出てくるからです。そしてコピペします。高すぎるハードルは、下からくぐってしまう人間がいる、とは正にこれのことです。これはもう全然安全じゃない。パスワードは自分が頭の中で覚えているというものがいちばん安全です。
私が推奨するのは、人にいったら軽蔑されてしまうようなパスワードです。これは安全です。oppai-banzaiとか。しかし10ケタの乱数(しかもアルファベット大文字小文字+数字+半角記号を混ぜて)を完全に暗記するのがいちばん安全です。
ですが、そういうことやると、ログインできなくなったりします。なのでやはりメモするのです。

桁数

パターンにマッチするまでの時間とかです。

種別 パターン 4ケタ 6ケタ 8ケタ 10ケタ
1 英字(大文字、小文字区別しない) 26 約3秒 約37分 約17日 約32年
2 英字(大文字、小文字区別)+数字 62 約2分 約5日 約50年 約20万年
3 英字(大文字、小文字区別)+数字+記号 93 約9分 約54日 約1千年 約1千万年

アルファベットだけの4文字はブルートフォースで約3秒で破られます。場合によっては1秒以内です。とはいってもユーザー名やIDとセットになっているので、単に実験的に4文字のアルファベットを当てるというゲーム性の強い実験結果ということになります。
じゃ、パターン3の10ケタで1千万年かかるやつにすればいいではないか!と思いますが、ここにもいくらか穴はあります。上記のように複雑奇っ怪にしすぎたパスワードはメモ、記録、などによって紛失するおそれがあり漏洩の原因になります。加えて、パスワード破りのアルゴリズムによっては偶然にも最初の数秒でマッチする可能性だってあります。特にこの時間の長さがセキュリティーの強さを表しているわけではないのです。
しかし一般的に考えて注目すべき点があります。6ケタと8ケタです。いずれのパターンもここをしきい値として急激な落差があります。ここが極めてセキュリティー上考慮しておいてもよいところになります。つまり8ケタ以上のパスワードは比較的強いということです。ただし、4文字の連続、homehomeとかhogehogeとかは全然だめです。だいたいそこら辺りからパスワード破りの達人ははじめるものです。

辞書攻撃

つまりパスワードをある名詞にしているとあまりよくないというわけです。unko-unkoとかはもう全然ダメです。
最近流行りなのが、h0geh0geみたいにoを0にしてみたり、Lilyと|ilyとしてみたり、アルファベットの形の近いものを記号にするというものです。しかしこれもあんまりよくない。パターンが見破られやすい。少なくとも8ケタ以上にしないとたいした効果はありません。

Last update: 2016.03.30 (水)