あなたのパスワードは安全ですか？

米Webroot社の上級セキュリティアナリスト、Randy Abrams氏が、簡単なテストを

いくつか行いました。大文字と小文字、数字、記号を含む8文字で作成できるパスワード

をすべて数えたのです。その組み合わせは95の8乗通りで、計算すると約6600兆個

になりました。

例えば、誰かがあなたのパスワードをよくある総当たり攻撃（ブルートフォース攻撃）で

解読しようとしているとしましょう。

1秒間に310億個のパスワードを試せるとします。ほどほどに複雑な8文字のパスワード

を破るには、最長で212903秒、つまり3548分、約2日半かかります。

では、パスワードを作るのにルールがある場合についても考えてみましょう。

あなたが利用しているサービスが8文字のパスワードを要求しているとします。

Abrams氏は、その制約で組み合わせのうちの70兆6000億個が除外されると指摘

しています。

というのも、その制約で1文字から7文字の長さのパスワードがすべて無効とされる

からです。それによって、パスワードを破るのに必要な時間がなんと2277秒、

つまり38分弱も短くなります。これはなかなかの数字です。

8文字のパスワードを利用する場合（暗記できるようにするため）、安全を考慮して、

サービスが大文字と小文字に加えて記号を使うよう求めていたらどうなるでしょうか？

そのほうが安全ですよね？

より複雑なパスワードになりますから、攻撃者は解読しにくくなるはずですよね？

実はそうとは限りません。

Abrams氏が述べているように、すべての小文字のパスワードが除外されて、

作成できるパスワードの数が18.5％へってしまいます。先程の前提では、最長で

2日間あれば、解読システムはあなたのパスワードを探り当てられるのです。

サービスがこのパスワードに数字を含めることも求めていたらーーそして、あなたが

そのアドバイスに従って、元の8文字のまま「複雑な」パスワードを作ったらーー

総当たり攻撃を行うシステムが推測しなければならない作成可能なパスワードの数

を約41%減らしてしまうことになります。

先程の前提では、最長時間を34時間、つまり1日半未満に短縮してしまうことに

なるのです。

短いパスワードを推測や総当たり攻撃しにくいものにする最善の方法について思い

悩むくらいなら、よりながいパスワードを選ぶ方がはるかに良いと、Abrams氏は

アドバイスしています。

なぜなら、サービスがパスワードに制約を設けていても、その影響はずっと

小さくなるからです。

たぶん3語からなるパスフレーズは使わない方がいいでしょう。

この方法を使うなら、代わりに必ずたくさんの単語を使ったパスフレーズにしましょう。

もっと良いのは、パスワード管理アプリ用に長いパスフレーズを使い、2段階認証で

2重のセキュリティを加えます。

その後でパスワード管理アプリを使って、すべてのサービス向けに小文字、大文字、

数字、記号を混ぜた16文字以上のパスワードを作り出すことです。

制約つきの短いパスワードしか持てないサイトにサインアップする場合は（特に、数字

しか使ってはいけないサイト）、神経を尖らせましょう。

運がよければ、そのサイトでも2段階認証を設定して、セキュリティをいくらか強化

できるでしょう。