プラスエスコラムを始めた黎明期にも取り上げました「パスワードとセキュリティ」(2018年12月)ですが、最近のパスワード事情は少し変わってきました。
パスワードを含んだ情報の漏えいだけでなく、パスワードを解析する技術的な進歩も無視はできなくなってきています。
安全なパスワードは「長く」「複雑に」「使いまわさない」が原則と言われています。
その中で「長く」の部分にポイントを当て、今回のコラムでは、パスワードの解析に要する時間について紹介します。
利用しているサービスなどでのパスワードの長さは、個人もしくは組織で〇文字以上と決められているでしょうか。
数字・英小文字・英大文字・記号などを組み合わせることでより強固なパスワードをつくることができます。
パスワードは時間さえあれば、総当たり攻撃で必ず解読されてしまいます。
強固なパスワードとは、パスワードにたどり着くまでの解読時間をより多くかけ、攻撃者に手間や時間をかけさせるパスワードです。
この度、アメリカで人気の投稿サイト「Reddit」で興味深い情報が掲載されました。
https://www.reddit.com/r/Infographics/comments/iovbi8/updated_table_on_time_to_brute_force_passwords/
パスワードを総当たり攻撃した際の最大解読時間です。
解読に使用したハードウェアは「Gigabyte GeForce RTX 2080 Ti Turbo11GB」という一般に販売されているスペックのものですので、攻撃者が使用するハードウェアスペックですと解読時間はさらに短くなると思われます。
たとえば、キャッシュカードは数字4桁のパスワード(10^4通りつまり10,000通り)は、一瞬で解読できるということになります。
数字+英小文字+英大文字+記号の組み合わせで8桁としても、8時間で解読可能となります。
この表から見て取れるのは、文字種を増やすことも大切ですが、文字長を増やすことの方が効果があることが言えます。
これからのパスワード管理(アカウント含む)は下記のポイントが重要になってきています。
1.パスワード文字長をできるだけ長くする。
2.パスワード間違い回数の制限を設け、ロックがかかるようにする。
3.二要素認証、二段階認証を利用する。
今すぐにでも、パスワードの見直しをされることをお勧めします。
結論:パスワードはできるだけ長く!
プラスエス(+S)はお客様にさまざまな”S”を提供します。
Satisfaction、Solution、System、Support、Security、Smile & Sun
