あなたのパスワードは安全ですか?

「大文字と小文字を必ず使ってください」は

パスワードを脆弱にしている

 

 

 

パスワードを作る時、「複雑にした自分のパスワードは安全だ」と思い込むのは危険

です。

サイトがやたらと細かく、大文字・小文字、数字や記号の組み合わせを使うように求

めてきた場合も同様です。こうしたルールに従うことが、パスワードを脆弱にしている

可能性があります。

 

パスワードの組み合わせは約6600兆個。でも…

米Webroot社の上級セキュリティアナリスト、Randy Abrams氏が、簡単なテストを

いくつか行いました。大文字と小文字、数字、記号を含む8文字で作成できるパスワード

をすべて数えたのです。その組み合わせは95の8乗通りで、計算すると約6600兆個

になりました。

 

例えば、誰かがあなたのパスワードをよくある総当たり攻撃(ブルートフォース攻撃)で

解読しようとしているとしましょう。

 

1秒間に310億個のパスワードを試せるとします。ほどほどに複雑な8文字のパスワード

を破るには、最長で212903秒、つまり3548分、約2日半かかります。

 

では、パスワードを作るのにルールがある場合についても考えてみましょう。

 

あなたが利用しているサービスが8文字のパスワードを要求しているとします。

Abrams氏は、その制約で組み合わせのうちの70兆6000億個が除外されると指摘

しています。

 

というのも、その制約で1文字から7文字の長さのパスワードがすべて無効とされる

からです。それによって、パスワードを破るのに必要な時間がなんと2277秒、

つまり38分弱も短くなります。これはなかなかの数字です。

 

大文字と小文字を必ず使ってくださいは危険

8文字のパスワードを利用する場合(暗記できるようにするため)、安全を考慮して、

サービスが大文字と小文字に加えて記号を使うよう求めていたらどうなるでしょうか?

 

そのほうが安全ですよね?

 

より複雑なパスワードになりますから、攻撃者は解読しにくくなるはずですよね?

 

実はそうとは限りません。

Abrams氏が述べているように、すべての小文字のパスワードが除外されて、

作成できるパスワードの数が18.5%へってしまいます。先程の前提では、最長で

2日間あれば、解読システムはあなたのパスワードを探り当てられるのです。

 

サービスがこのパスワードに数字を含めることも求めていたらーーそして、あなたが

そのアドバイスに従って、元の8文字のまま「複雑な」パスワードを作ったらーー

総当たり攻撃を行うシステムが推測しなければならない作成可能なパスワードの数

を約41%減らしてしまうことになります。

 

先程の前提では、最長時間を34時間、つまり1日半未満に短縮してしまうことに

なるのです。

 

「複雑で短い」より、長いパスワードが安全

短いパスワードを推測や総当たり攻撃しにくいものにする最善の方法について思い

悩むくらいなら、よりながいパスワードを選ぶ方がはるかに良いと、Abrams氏は

アドバイスしています。

 

なぜなら、サービスがパスワードに制約を設けていても、その影響はずっと

小さくなるからです。

 

たぶん3語からなるパスフレーズは使わない方がいいでしょう。

この方法を使うなら、代わりに必ずたくさんの単語を使ったパスフレーズにしましょう。

 

最も良いパスワードの組み合わせは?

もっと良いのは、パスワード管理アプリ用に長いパスフレーズを使い、2段階認証で

2重のセキュリティを加えます。

 

その後でパスワード管理アプリを使って、すべてのサービス向けに小文字、大文字、

数字、記号を混ぜた16文字以上のパスワードを作り出すことです。

 

制約つきの短いパスワードしか持てないサイトにサインアップする場合は(特に、数字

しか使ってはいけないサイト)、神経を尖らせましょう。

 

運がよければ、そのサイトでも2段階認証を設定して、セキュリティをいくらか強化

できるでしょう。

 

source:lifehacker

この記事を書いた店舗情報

宇都宮店

321-8555
栃木県栃木県宇都宮市陽東6丁目2ー1ベルモール2階

070-1307-5363

人気ブログ

新着ブログ

機種一覧

店舗一覧