シングルサインオン的な流れが見えてきたり,パスワードマネージャ等で色々なパスワードを集中管理する人が全世界17億人くらいいるんじゃないのかなと勝手に思っているわけですが,そういう場合においては,マスターパスワードと呼ばれる大本のパスワードが漏れたりばれたりすると,尋常じゃない被害が発生してしまうような時代になりました.一応ですね.不正アクセス行為の禁止等に関する法律という素晴らしい法律があるので,ノーガード戦法でいいんじゃないのかなって,思ったりもしています.だから,世の中は良くならないんですよ.技術で守れるところは,技術が守らないといけないと思うんです.法は完璧じゃないですよ.法を犯すから,犯罪があるわけで(以下ry.
閑話休題.ネット上のパスワードが8文字以上なのには理由があるそうです.
パスワードで入力できる種類は、アルファベット小文字と英数字、それに特殊記号を合わせても、40個ほどしかありません。
想定がよくわかりません.常識的に考えて,パスワードに入力されるアルファベットは大文字小文字を判別すると思うので,その時点で52個ほどあると思うんです.大文字小文字は判別するけど,みんなが面倒くさがって小文字しか使わないという主張は理解できますが,最初から意図的に排除してパターン数を減らしているのは理解できません.それはそれとして,アルファベット小文字が26個,数字が10個で,足したら36個.特殊記号を合わせても40個ほどしかないそうなんですが,どうみても,もっといっぱいあるわけですが・・・.まぁ,それは目を瞑ろう.
例えば4文字だと、考えられるパスワードの種類は40の4乗で256万通り。6文字なら約41億通り。(中略)でもパスワードが8文字なら、全部で約6兆6千億通り。こんな桃鉄の世界でしか経験したことがない桁数(以下略)
ここではパスワードに使える種類とその文字数で,どれだけのパターンが作れるかを示しています.こんな桃鉄的な確率で,パスワードが破られるといっています.えぇ.全パターンを順番に試していく,総当たり攻撃です.ブルートフォースアタックと呼ばれることもあります.地味な作業です.地味ですが,絶対です.ですから,8文字にすれば,総当たりで見つかる確率は6.6兆分の1ですよ,と言っておられる.正にその通りです.
ちなみに、破られにくい適切なパスワードって何だろう?
「例えば“abcdefgh”という文字をパスワードとしたとき、“abcd@@efgh”など、間に特殊文字を入れるだけで、解析される確率は数十分の1になります」
ここから突然にして,話が変わっている.今までは総当たり攻撃に対して,耐性を上げるには文字数を増やして,パターン数を増やしましょうと主張してきました.しかしながら,今度は「破られにくい」という次元の話に落っこちました.これは辞書攻撃を想定していると思われます.辞書攻撃はパスワードに設定されやすい候補や英単語などを予め準備しておき,それを片っ端から試していくという,総当たり攻撃に比べれば圧倒的に効率が良さそうな攻撃手法です.この話がここで出てくるのはおかしいです.フェアじゃないです.
それは何故か.この部分の主張は,特殊文字を混入させることで,パスワード解析に対する耐性を上げると言っていますので,当然ながら辞書攻撃を想定していると思われます.しかしながら,前半部分では先に示したように,総当たり攻撃を想定し,全パターン数を増やすにはパスワード長を長くすればいいと述べており,特殊文字を含めた上で,パターン数を試算しています.何が言いたいかというと,前半の総当たり攻撃に対する攻撃成功確率は特殊文字を使うことを含んでいます.なのに,後半では突然にして,特殊文字を使えば,安全になるぜ!と主張しています.条件が揃っておらず,フェアじゃないです.
特殊文字を使えば解析確率が数10分の1になるというならば,パスワード長は短くても,特殊文字ばかりのパスワードを設定すればいいんでしょ!という主張がまかり通ってしまう.それは総当たり攻撃に対して,なんら効果を発揮しない.辞書攻撃に対しては意味があるのだが・・・.
というわけで,前半と後半で前提が異なっているようなので,注意して読みましょう.個人的な意見を述べるならば,パスワード長は長くすればするほど,解析されにくくなります.それは総当たり攻撃でも辞書攻撃でもです.なので,とにかく,長いパスワードを用いればいいんじゃないでしょうか.オススメはフレーズです.パスワードの安全性は複雑さよりも長さが勝るという研究成果もあります.ボクは,この考え方を支持します.
関連:
ITmedia Biz.ID:優れたパスワードの選定と記憶法
本当に怖い「パスワード破り」:ITpro
最強のパスワードを作る:ITpro
