一瞬で解読されるパスワード

インターネットのサービスにログインするときのパスワード。

記憶できる程度の長さのパスワードなら、

攻撃されたら一瞬で破られる、というデータを見つけました。

それじゃ、意味ないじゃない! と驚きました。

「一瞬」とはどのくらいか、というと、

以下の表は、パスワードが解読されるまでにかかる時間の一例です。

アメリカの研究データです。まとめると、

数字だけなら、 10ケタまでは即座に解読

小文字だけなら、 7ケタまでは即座に解読

小文字と大文字なら、6ケタまでは即座に解読  

数字、小文字、大文字なら、5ケタまでは即座に解読、6ケタでも1秒

数字、小文字、大文字、記号なら、5ケタまでは即座に解読、 6文字で5秒

Updated table on time to brute force passwords
byu/hivesystems inInfographics

すごくインパクトがある表ですが、

これについては、技術的な検証もされていて、前提条件が示されていないという不備もあるようです。

https://qiita.com/ockeghem/items/5a5e73528eb0ee055428

安全なパスワードの基準【2022年】は、10ケタ以上で4種の字の組み合わせ

では、安全なパスワードはどんなものかというと、

内閣サイバーセキュリティセンターが発行するの「インターネットの安全・安心ハンドブック」や、

独立行政法人情報処理推進機構(IPA)の「チョコっとプラスパスワード」でいわれているのは、

桁数は、最低でも10桁

文字の種類は、4種類を全部使うこと 
アルファベット大文字、アルファベット小文字、数字、記号をすべて使う

たとえば、

GmRV5N%Q6j  (ダミーです。)

こんな感じ。

ダメなパスワードの作り方使い方

これはマネしてはいけません、というポイントは、

  • IDとパスワードが同じ
  • パスワードに、自分の名前、電話番号、誕生日をそのまま使っている
  • パスワードに、「1234」や「1111」、「abcd」などの単純な羅列を使っている
  • パスワードに、辞書にある単語をそのまま使っている 
  • さまざまなサービスで、同じパスワードを使用している【SNS、ネットショップなど】

「サービス毎に異なるパスワードを設定している」人は27.3%でした。7割以上の人がパスワードを使い回していることになります。

IPA安心相談窓口たより
  • 他人に一度でもパスワードを教えたことがある。

もちろん、これは問題外!

安全なパスワード運用には、生成ツールと二段階認証かな

これらのポイントを守るということは、

GmRV5N%Q6j  (ダミーです。)

こんなパスワードを、サービスごとにいくつも作って、管理するということ。

覚えられないです。

簡単に記憶できるようなパスワードは、狙われたら確実に解読される、ではどうしよう。

これからは、

  • パスワード生成ツールを使う
  • パスワード保存ツールを使う
  • 二段階認証があれば必ず使うことにしよう

これをやっていくしかないのかな。

パスワードを作るのも覚えるのも、自分ではできないと思ったほうがいいみたいです。

安全なパスワードの作り方は【一生モノ】のデジタルリテラシーと言えます。

ただ、知識はアップデートする必要がありそう。

前は、パスワードは6ケタでいい、なんて言われていましたから。

長い目で見ると、違う認証方法が主流になる可能性が高い気がする。