パスワードは複雑さより長さが重要

こんにちは、佐々です。

 

パスワードを作る機会・・
身近にいくつかありますよね。

〇サイト等の会員登録をするとき
〇決済をするとき
〇HPを作成するとき etc

 

私は以前、決済が絡んでいない会員サイト系だと
自分が覚えやすい簡易パスワードを使いまわしていた時期もありました。

 

・・・見事にFacebookのアカウントが乗っ取られかけました!!
(福岡で私が寝ている時間に、東京でログインの形跡が(´;ω;`))

 

よくある「被害にあいやすい簡単なパスワード」
〇連続した文字列
例)aiueo123 / aaaa0000

 

〇名前・誕生日・趣味など、自分の情報にちなんだもの
例)saza1203 / sazasaza / itlove

 

〇単なる単語
例)password / admin / login / master

 

等が挙げられます。

 

上記の例まで簡易なものを設定されている方はいないと思いますが・・・。

 

2019年12月より、ブラウザGoogle Chromeのセキュリティ機能が強化

ChromeでIDとPWを入力した際、「Password Checkup」という機能が
IDとパスワードの組み合わせが第三者によるデータ漏えいの影響を受けていないかを自動で調べてくれます。

 

もしIDと関連性のあるワードだとこのようにパスワード変更を促す警告が出されます。

警告が表示された場合は、ポップアップを閉じ速やかにパスワードを変更することをおすすめします。

 

では、実際はどんなパスワードが良いのか?

これまでパスワードといえば、アルファベットの大文字と小文字、数字や記号を使って
できるだけ複雑にするのが望ましいとされてきました。

 

ところが米国立標準技術研究所(NIST)の勧告では、
「パスワードの複雑さよりも、長さの方が、ずっと大切」だと説き、

 

米連邦捜査局(FBI)も
「パスワードはただ長くすればいい――。」と提示し話題になっているほどです。

 

NISTでは、破られにくく、かつ覚えやすい文字列を作り出すため、
複数の単語を組み合わせ文章をつなげる「パスフレーズ」の使用を勧めています。

 

FBIの例では
「VoicesProtected2020WeAre」「DirectorMonthLearnTruck」などを挙げられています。
(誰でも知っているようなフレーズや名言の類、歌詞などは避ける)

 

パスワードを破ってシステムに侵入しようとする攻撃の手口は多様化・巧妙化していて、
情報の大量流出事件も跡を絶たない状況です。

 

辞書攻撃」や、「パスワードリスト攻撃」、「ブルートフォース攻撃
最近では検出が難しい「パスワードスプレイ攻撃」といった手口も使われています。

 

なぜ長いパスワードが有効とされるのか?

さて、そうした攻撃を阻止するための対策として、
なぜパスワードが長いことが有効なのでしょうか?

 

理由は長ければ長いほど、破るために要する時間と労力が増えるからです。

 

Newsweekが専門家の話として伝えたところによると、
例えば7文字のパスワードなら、
ハッキングソフトウェアを使ってわずか0.29ミリ秒で破られ、 
これが12文字になると200年近くかかる計算。

 

そして24文字になると1800万年以上かかるそう。

 

ただしこれはあくまでも現時点での話。
クラウド、AI、機械学習、量子コンピュータなどあらゆる技術が進歩すれば、パスワード破りの技術も進歩します。 
それでも「今」できる対策を万全に行っていきたいですよね。