fbpx

「8文字(8桁)のパスワード」は今では時代遅れでかなり危険。どうしたら安全?

いろいろなところで目にする「パスワードは8文字(8桁)以上、時々変更しましょう」。これで本当に大丈夫なのか?
内外の最新研究を検証した衝撃の結果は「今では8文字パスワードは弱い!」しかし「強いパスワードを設定したら二度と変更の必要なし!」。過去の常識が変わった理由と対策をご説明します。
デジタル終活を契機にぜひパスワードを見直し、デジタル遺品やデジタル遺産の安全を守りましょう。

パスワードをあらゆる手段で盗み出すハッカーのイメージ

 IPA(情報処理推進機構)のパスワードの指針は「8文字以上」。ただし2011年の基準!

IPAの「IDとパスワードは適切に管理」では?

日本のIT全般を技術面、人材面から支える、経済産業省所管の独立行政法人である独立行政法人情報処理推進機構(略称:IPA)は「ぼくだけのひみつのかぎさ、パスワード」という、パスワードの使い方ガイドを発表しています。

「パスワードの強化…使用できる文字種(大小英文字、数字、記号)全てを組み合わせ、8文字以上のパスワードにしましょう。辞書に載っているような単語や人名は使用を避けてください。
(~中略~)
パスワードの使い回しをしない…複数のサービスで同じIDやパスワードを使いまわしていると、不正利用の被害が拡大する危険性があります。複数のインターネットサービスでのパスワードの使い回しはやめましょう。また普段利用していないインターネットサービスに関しては登録解除することをおすすめします。」
■引用:
IPA「ぼくだけのひみつのかぎさ、パスワード」より「IDとパスワードは適切に管理」より
https://www.ipa.go.jp/security/keihatsu/pr2012/general/01_password.html

「8文字以上」「使い回しをしない」がここでもキーワードとして書かれています。

ただし注意しなければならないのは、このガイドブックが出されたのは2011年12月、「まだスマートホンが一般に広まる前」

だということ。

今も掲載されていますが、いくら何でもそろそろ更新して欲しいですね。

 

「8文字(8桁)のパスワード」で大丈夫だったのは大昔のこと

ところでWikipediaの「総当たり攻撃」を検索すると、以下のような深刻な情報が記載されています。

「人間が手作業で行った場合、入力が速い人が行ったところでとてつもなく膨大な時間と労力が掛かる事となるが、単純なコンピュータプログラムで自動化する事が可能であり、またコンピュータはそのような繰り返しの作業において、非常に有効に機能する。」

「もっとも原初的な方法論でありながら、時間的制約が無い、あるいは試行回数制限が無い場合など条件を満たせば、最も万能かつ普遍的に使う事が出来る方法である為、暗号解読あるいはサイバー攻撃の基礎とみなされる。」

■引用:Wikipedia「総当たり攻撃」より

まず「総当たり攻撃なんてものすごく数が多いからリストから、そう簡単に当てられるものではないだろう」という安易な発想を戒めています。人と違ってコンピューターは「繰り返しの照合作業」は大得意なのです。

さらに低速から高速のコンピューターで6ケタから8ケタのパスワードを解読(解析)するためにかかる時間を表で示しています。

コンピュータ性能によるパスワード解読(解析)時間の関係(Lockdown.co.uk,2009)
使用する文字の種類 使用できる
文字数
低速PC
(Pentium 100MHz)
高性能PC
(当時)
コンピュータ・クラスター又はワークステーション スーパーコンピュータ
6文字(6桁)の大小いずれかの英字だけのパスワード 26 5分間~8.5時間 30秒 3秒 瞬間
8文字(8桁)の大小英数字を含むパスワード 62 7年~692年 253日 25.25日 60.5時間
8文字(8桁)の大小英数字および記号を含むパスワード 96 229年~2万2875年 23年 2.25年 83.5日

■引用:Wikipedia「総当たり攻撃」より

この表によると
「6文字のパスワードはあっという間に解読(解析)される」

「しかし8文字の大小英数字および記号を含むパスワードとなると、スーパーコンピューターでも83.5日かかる」

「まあ大丈夫かなあ」

と結論になってしまいますね。

この記載はネット上にも書籍にもしばしば引用されているためか、今でも「パスワードは8ケタ以上」とされているサービスも実に多いです。

ただしこの表の基本資料となっているデータは「2009年当時のもの」ということに注意しなければなりません。コンピューターの進歩はすさまじく、2009年はとんでもない大昔の話しです。

 

コンピューターの能力は日に日にどんどん進んでいる。

しかし続けてWikipediaにも

「上記の表のスーパーコンピュータは10億回/秒の解析能力とされているが、2016年の市販GPUを一つ使用して解析すれば、その10倍以上の速度を出すことができる。また、仮想通貨の採掘業者などは数千万倍の計算能力を持っている」

■引用:Wikipedia「総当たり攻撃」より

と「ただし書き」が追記されています。

この記事自体書かれたのが2016年ですから、今ではこの結果よりはるかに早くなっていて、2009年当時と比べると数千~数万倍は早くなっているはずです。

今のPCなら数字8文字のパスワードは瞬間に破られてしまう

パスワードの解読(解析)時間計測サイトで測ってみました

「8文字パスワードは危なそうだ」とお分かりいただけたところで、「それでは今のコンピューター性能ではどのくらいかかるのか?」
なんとパスワードを入力すると計測してくれるサイトがあります。

それでは早速、このサイトに「数字だけ」「数字と大小の英文字、記号を含めた」の8文字、10文字、12文字のパスワードを作って計測してみました。下の表がその結果です。

数字だけ 英数字+大文字+小文字+記号
入力文字数 8文字(8桁) 10文字 12文字 8文字 10文字 12文字
入れたパスワード 16236839 13404945-212 13205467824428 @Wep%)1w Ert44#@q56 wEr%415wio&$
計測結果 (一瞬)10分の3秒 3秒 42分 9時間 6年間 3万4000年

・数字だけでは8文字~12文字では一瞬で解析される。12文字入れたら42分となる
・数字以外の英文字も入れて複雑にしたら10文字なら6年間かかる!

「よし、まあこれで大丈夫じゃないの」と安心しましたか? しかし、、、、

 

コンピューターの能力に加えて、計算方法もどんどん高速になっている。

でもさらに続きがあります。

複数のコンピューターを同時に使って解析処理することで、計算速度を大きく高速化する「並行処理」という高速化の方法があります。
更にネットワークが高速化したことで、離れて設置された多数のコンピューターをネットで繋いで処理を行う「分散処理」と言う技術もあります。
近年この技術がどんどん進み、安価になったPCを多数同時に使って容易に超高速処理ができるようになりました。

またGPU(グラフィックボード)という市販されてる画像処理を高速化する部品をPCに接続することで、計算や処理を飛躍的に高速化する手法もポピュラーです。

実はこれらは少しパソコンに詳しい人なら誰でも、もちろん犯罪集団でも簡単に活用できる技術です。これを使うと、上記の解析時間を数百~数千倍高めることはできてしまいます。

更にもっとすごい話ですが「量子コンピューター」という、今のコンピュータとは全く異なる理論で動く「超高速コンピューター」の研究が進んでいます。
試作品はすでに完成し、近年には実用化するめどが立ってきました。

量子コンピューターが実用化されると、「今のスーパーコンピューターで何年もかかるような複雑膨大な計算が一瞬で終わってしまう」、もはや次元の違う速さとなり、パスワードの解析など何文字あっても一瞬で解読でき、結果としてパスワードの長さは全く意味がなってしまいます

もっともその頃までにはパスワードとは全く異なる認証技術が生まれているでしょう。

 

じゃあどうする? 原則に立ち返って現実的な備えをしましょう。

心配するときりが無いですが、ここは大原則の
・【文字種を混在させる】・・・数字だけでなく、英文字、記号を加えて、選択肢を増やす。
・【長くする】長いパスワードを使用する
ことにつきます。

「何文字増やせばよいのか?」の正解はありません。
多数のコンピューターを使って高速処理されればどんなパスワードも破られる可能性はあります。
しかし国家機密を扱うわけでもない、普通の人なら「過度に防御する必然性」はないです。

ただ素人でも好奇心で解読できて不正ログインを許してしまう8文字では明らかに少ないです。では現実的に何文字なら大丈夫なのでしょう?

 

総務省の「インターネットの安全・安心ハンドブック」の見解は「パスワードは10文字」

パスワード「1文字増やせば解読は100倍近く手間取る」と言われています。

総務省内閣サイバーセキュリティーセンターの「インターネットの安全・安心ハンドブック」
に参考になる記載があります。
要約しますと、

「英大文字小文字+数字+記号混じりの組み合わせるということは、
大文字アルファベット26通り
+アルファベット小文字26通り
+数字10通り
+記号26通り)
88通りの選択肢がある

数字10個だけ使ったパスワードだと、解読するためには100億通りの計算必要。
英大文字小文字+数字+記号の88通りすべてを使った10桁のパスワードだと
約 2785 京 97 兆 6009 億通り

よってログイン用パスワードは「英大文字・小文字+数字+記号の混在で 10 桁」を推奨

■以上引用:総務省内閣サイバーセキュリティーセンター

 

パスワードのことは当面忘れてしまいたい方へ。私のおすすめパスワードの文字数は

私のお勧めとしては今後5年10年のコンピューターの進歩を踏まえて

「最低12文字」できれば「14文字以上」

にしておけば、近い将来パスワードに代わる新たな認証方法が普及するまで、ずっと安心して使えると考えています。デジタル遺品やデジタル遺産のアカウントのパスワードもこれで安心です。

デジタル終活を進めるに当たっては、大切なパスワードはすべてこの原則通り設定して、当面の安心を手に入れたいです。

そして、多くのパスワードを再度再設定するのはあまりに大変ですから、

「安心なパスワードを一回だけ設定して、ずっと使い続けたい」

が、この文字数に落ち着いた理由です。

関連記事

パスワードについては10年前の古い常識が今でも生き続けているようです。「8文字のパスワードはもはや危険」ですし、「覚えられないからパスワードを使い回す」というのはデジタルの世界では最悪の愚行です。 長くて安全なパスワードの必要性と「どうや[…]

長くて安全なパスワードを作るヒント

「14文字なんてあり得ない」とお思いでしょうが、「英大文字・小文字+数字+記号の混在パスワード」なんて5文字でもどうせ覚えることはできませんから、パスワード管理の方法を確立したら8文字でも14文字でも大した変わりはありません。

その方法はパスワードマネージャーを使うことです。当サイトでしっかりご説明します。
ちなみに私自身はパスワードマネージャーを使うことを前提に「最低15文字」「最重要アカウントは20文字以上」をルールとしています。

関連記事

パスワードに関する悩みだけでなく、大事な秘密情報の保管場所としても、デジタル終活のツールとしても利用できる「パスワードマネージャー」。まさにデジタル終活の必需品です。 デジタル遺品やデジタル遺産を守るためにも必須ツール、政府機関もすすめる[…]

 

パスワードを月に一回再設定するのは時代遅れ。きちんと作ったパスワードは変更不要!

会社でPC使っている方は「定期的にパスワードを変更せよ」と言われて毎月苦労なさっていると思います。

しかし近年この習慣は「不必要」「かえって弊害が多い」と考えられるようになりました。

かつて「パスワードの定期的な変更」を推奨していたアメリカのセキュリティー専門家が「間違っていた」と認め、アメリカの国立標準技術研究所(=NIST)が発表したガイドラインにも「変更不要」が明記されました。

さらに我が国においても総務省がこれまで「必要」と案内していた方針を「不要」と改めました

2019年4月マイクロソフト社も正式に「バスワードの定期的な変更は不要」とし、次期のWindows10の更新から定期変更をすすめるプロセスを外すことを表明しました。

パスワードの変更をさせることがユーザーの負担となり、かえって「簡単」で「覚えやすいパターン化したパスワードの設定」を招いてしまうという反省があってのことです。

「パスワード再設定なんか不要」の落とし穴

ただしご注意ください。

これは前提条件があり、安易なパスワードを使っていない」「使い回しをしていない」いうことが絶対の条件です

そうでない方はリスクを避けるために、毎日でもパスワードを変更した方が良いかもしれません。そんなの現実的ではないですよね。

ぜひともすべてのパスワードは「英大文字小文字+数字+記号で最低 12 文字以上、できれば14文字」を実行して、変更の手間や不安から解放されましょう。

またそうすることで、日常のデジタル使いの安全だけでなく、あなたのデジタル遺産やデジタル遺品を、将来大切な方に継承する際の安全も高まります。

「そんなことできない!」

「いいえ、できます!その方法を当サイトで見つけてください。」

まとめ:
パスワードは8文字ではなく12~14文字以上の複雑なものにしましょう。その代わり変更は不要になります

今はコンピューターの急速な能力向上により8文字では容易に解読されてようになってしまいました。もちろんパスワードの使い回しは絶対にいけません。
今後のコンピユーターの進歩を考慮し「最低でも12文字、できれば14字以上の長さのパスワード」ならひとまず安心。
またパスワードの使い回しをしていないなら、いったん決めたパスワードは変更する必要なくなりますので、デジタル遺品やデジタル遺産のパスワードもこれでOK、不正ログインの心配から解放されます。

関連記事

いくら安全でも、記憶できないパスワードは使えません。 「デジタル終活~デジタル遺産とデジタル遺品の継承のため」覚えることのできる安全なパスワードの設定方法を具体的にご説明します。 1 安全なパスワードを整備する現実的な方法があるのか[…]

長いパスワードをいくつも覚えることは不可能ですので、当サイトの記事を参考にしてパスワードマネージャーの導入もご検討ください。

当社の「デジタル終活サポートサービス~Digital Keeper」を、ぜひお試し下さい!

当社代表の冨田の長年の構想を元に、2019年9月11日にスタートした「オンラインデジタル終活サービスDigital Keeper」は、わずか390円の会費で、どなたでもお手軽にデシタルキーピングやデジタル終活が実行できる、新しいコンセプトのオンラインサービスです。

Digital Keeperにご入会いただきますと、当ブログにあるような「デジタルの安全にタイムリーに役に立つ情報」「デジタルキーピングの方法」などをメールマガジンでお届けしながら、会員にまさかの事態が起きたときには、しっかりと会員のデジタル終活をサポートさせていただきます。

今なら1ヶ月無料で全機能を自由にお使いいただけます。この機会にぜひお試し下さい。(詳細は下記バナーをクリックすると新しいウィンドウでご覧いただけます)。

Digital Keeperバナー

 

関連記事

当サイトは「デジタル終活」とはお年寄りの終活とは異なり、「日頃からIDやパスワードなどデジタル資産を管理し、不要な物は断捨離し、安全に使えるようにして継承も準備する」ような一連の作業と考えています。 これが完成すれば、自身も安心にデジタル[…]

デジタル終活を終えて幸せそうなシニアカップル
プッシュ通知を
>

「このブログとデジタルキーパー社」
このブログはデジタルキーパー株式会社が「デジタルの安全な使用と継承~デジタルキーピング」をテーマに、「スマホ、PCの安全な使用方」から「正しいパスワード」「不正アクセスの防ぎ方」「デジタル遺品管理などデジタル終活の方法」まで、様々なノウハウをご紹介するブログです。
さらに当社は2019年夏からは「コーヒー1杯分の代金でデジタル終活支援サービス~Digital Keeper」をリリースしました。
誰にも必要なデジタルキービングをサポートします。

CTR IMG