how_secure


社内でのセキュリティ規程を作成する際に、パスワードを何文字以上にしようか迷うことが多いと思います。そういう時に判断の助けとなるサイトをご紹介します。

http://howsecureismypassword.net/

適当にキーボード入力してみて、それを総当たり制でパソコンで解読するとした場合にどのくらいの時間が必要なのかがリアルタイムに出てきます。

いろいろ実験したら、下記のようになりました。

英小文字のみ6文字 約30秒間
英小文字+数字で6文字 約3分間
英小文字のみ8文字 約5時間
英小文字+数字で8文字 約3日間
英小文字のみ10文字 約163日間
英小文字+数字で10文字 約11年間

すなわち、英数字6文字では、たったの3分間、計算を回せば解読できるレベルということです。

英数字8文字にすれば、3日間になりました。これだと少しは安心できるかどうか。

英数字10文字にすれば、11年間になりました。これでようやく安心できるレベルですね。

ということで、実際に何文字にすればいいのかということは私から一律にお示しすることは困難ですが、6文字と8文字と10文字がパスワードとしてどのくらい違うのか。数字を入れることの意味など、相場観を皆さんにも持っていただければと思います。

<<注意>>
悪用される危険性がありますので、こういったサイトに自分が本当に使用しているパスワードを入力しないでください。


追記>

何人かの方からコメントや質問をいただいておりますので、補足します。

・上記は、CPUの最大の能力を活用して総当たり攻撃ができる環境の場合の数字です。たとえば暗号化されたZIPファイルの解読のような時にはこれが適用されます。
・一方で、オンラインサービスの場合には、レスポンス時間がもっと遅くなるでしょうから、もっと時間がかかることになります。
・また、多くのオンラインサービスでは、総当たり攻撃に対する対策として一定回数以上のパスワードエラーが続くとアカウントを一時停止する措置を取っている場合があり、このような方式を組み合わせることでリスクを小さくしています。
・たとえば、銀行のキャッシュカードの暗証番号は数字4ケタしかありませんが、何回か入力ミスをするとカードが没収されると思います。このようにしてリスクを小さくしています。

ご参考まで。



●週に一回程度、更新情報をお届けします。
こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)