パスワード強度の新常識とは?~8文字(8桁)のパスワードは今では危険

パスワードをあらゆる手段で盗み出すハッカーのイメージ
「パスワードは文字種を組み合わせ8文字(8桁)以上」「時々変更しよう」。これは古い危険な情報です。
内外の最新の解析や研究を検証した結果は「8文字パスワードは強度不足!」、また「強いパスワードを設定したら二度と変更の必要なし!」。
パスワード強度について過去の常識が変わった理由と対策をやさしくご説明します。
パスワードを強度と安全性が高いものに見直し、デジタル資産を守りましょう。

 IPA(情報処理推進機構)推奨のパスワード指針は「8文字以上」。ただし2011年の基準!

IPAの「IDとパスワードは適切に管理」では?

つい先日まで日本のIT全般を技術面、人材面から支える、経済産業省所管の独立行政法人である独立行政法人情報処理推進機構(略称:IPA)が「ぼくだけのひみつのかぎさ、パスワード」という、パスワードの使い方ガイドを発表していました。ここには

「パスワードの強化…使用できる文字種(大小英文字、数字、記号)全てを組み合わせ、8文字以上のパスワードにしましょう。辞書に載っているような単語や人名は使用を避けてください。
(~中略~)
パスワードの使い回しをしない…複数のサービスで同じIDやパスワードを使いまわしていると、不正利用の被害が拡大する危険性があります。複数のインターネットサービスでのパスワードの使い回しはやめましょう。また普段利用していないインターネットサービスに関しては登録解除することをおすすめします。」
■引用:
IPA「ぼくだけのひみつのかぎさ、パスワード」より「IDとパスワードは適切に管理」より

「8文字以上」「使い回しをしない」がここでもIPA推奨のキーワードとして書かれていました。

ただし注意しなければならないのは、このガイドブックが出されたのは2011年12月、「まだスマホが一般に広まる前」の大昔だということ。

2020年になって、このガイドブックはようやく掲載されなくなりましたが、今でもこのガイドを元にセキュリティやパスワード強度のポリシーを作成したままの書籍、企業や組織が実に多いのです。

ぜひ最新の見解へ更新して欲しいです。

デジタルの世界では「古い常識」は危険なこともあります。

検索する際は「記事の投稿日や更新日」を確認して下さい。

ブログ内の関連記事(新しいウィンドウで開きます)

URLの「httpのsの有無」には確かにセキュリティ上大きな違いがあります。しかし「sがついているから安全、鍵マークがあるから安心」は大昔の発想で、今では古くて危険な非常識です。どうして「httpsは安心の証ではないのか?」、URLのh[…]

httpとhttpsの違いを理解しよう

 

「8文字(8桁)のパスワード」で大丈夫だったのは大昔のこと

ところでWikipediaの「総当たり攻撃」を検索すると、以下のような深刻な情報が記載されています。

「人間が手作業で行った場合、入力が速い人が行ったところでとてつもなく膨大な時間と労力が掛かる事となるが、単純なコンピュータブログラムで自動化することが可能であり、またコンピュータはそのような繰り返しの作業において、非常に有効に機能する。」

「もっとも原初的な方法論でありながら、時間的制約が無い、あるいは試行回数制限が無い場合など条件を満たせば、最も万能かつ普遍的に使うことが出来る方法である為、暗号解読あるいはサイバー攻撃の基礎とみなされる。」

■引用:Wikipedia「総当たり攻撃」より

説明の最初に「ものすごい数の総当たりなんて、とても無理だろう」という思い込みを否定しています。

人と違ってコンピューターは「単純な繰り返しの照合作業」は大得意なのです。

さらに低速から高速のコンピューターで6ケタから8ケタのパスワードを解読(解析)するためにかかる解析時間を表で示しています。

コンピュータ性能によるパスワード解読(解析)時間の関係(Lockdown.co.uk,2009)
使用する文字の種類使用可能な
文字数
低速PC
(Pentium 100MHz)
高性能PC
(当時)
大型コンピュータ・スーパーコンピュータ
6文字(6桁)の大小いずれかの英字だけのパスワード265分間~8.5時間30秒3秒瞬間
8文字(8桁)の大小英数字を含むパスワード627年~692年253日25.25日60.5時間
8文字(8桁)の大小英数字および記号を含むパスワード96229年~2万2875年23年2.25年83.5日

■引用:Wikipedia「総当たり攻撃」より

この表によると

  • 「6文字のパスワードはあっという間に解読(解析)される」
  • 「しかし8文字の大小英数字および記号を含むパスワードとなると、スーパーコンピューターでも83.5日かかる」→「大丈夫かな?」

と結論になってしまいますね。

この記載はネット上にも書籍にもしばしば引用されるため、今でも「パスワードは8ケタ以上」とされているサービスも実に多いです。

ただし、この表の基本資料となっているデータは「2009年当時のもの」ということに注意しなければなりません

コンピューターの進歩はすさまじく、2009年はコンピューターの世界ではとんでもない大昔の話しです。

先日世界一になった「富岳」だと一瞬で解析してしまうでしょう。