パスワード強度の新常識とは?~8文字(8桁)のパスワードは今では危険

パスワードをあらゆる手段で盗み出すハッカーのイメージ

今のPCなら数字8文字のパスワードは瞬間に解析され破られてしまう

コンピューターの能力は日に日にどんどん進んでいる。

よく読むと続けてWikipediaにも

「上記の表のスーパーコンピュータは10億回/秒の解析能力とされているが、2016年の市販GPUを一つ使用して解析すれば、その10倍以上の速度を出すことができる。また、仮想通貨の採掘業者などは数千万倍の計算能力を持っている」

■引用:Wikipedia「総当たり攻撃」より

と「ただし書き」が追記されています。

この記事自体書かれたのが2016年ですから、今ではこの結果よりはるかに早くなっていて、2009年当時と比べると数千~数万倍は早くなっているはずです。

パスワードの解析(解読)時間計測サイトでパスワード強度を測ってみると?

「8文字パスワードは危なそうだ」とお分かりいただけたところで、「それでは今のコンピューター性能ではどのくらいで解析されるのか?」

なんとパスワードを入力するとパスワード強度を計測してくれるサイトがあります。

How Secure Is My Password?
How long it would take a computer to crack your password?
howsecureismypassword.net
 
https://howsecureismypassword.net

それでは早速、この解析サイトに「数字だけ」「数字と大小の半角英文字、記号を含めた」の8文字、10文字、12文字のパスワードを作って強度を計測してみました。下の表がその結果です。

数字だけ英数字+大文字+小文字+記号
入力文字数8文字(8桁)10文字12文字8文字10文字12文字
入れたパスワード1623683913404945-21213205467824428@Wep%)1wErt44#@q56wEr%415wio&$
計測結果(一瞬)10分の3秒3秒42分9時間6年間3万4000年
  • 数字だけでは8文字~12文字では一瞬で解析される。12文字入れたら42分となる
  • 数字以外の英文字も入れて複雑にしたら10文字なら6年間かかって解読!

「よし、まあこれで大丈夫じゃないの」と安心しましたか? しかし、、、、

 

コンピューターの能力に加えて、計算方法もどんどん高速になっている。

でもさらに続きがあります。

複数のコンピューターを同時に使って解析処理することで、計算速度を大きく高速化する「並行処理」という高速化の方法があります。

さらにネットワークが高速化したことで、離れて設置された多数のコンピューターをネットで繋いで処理を行う「分散処理」と言う技術もあります。

近年この技術がどんどん進み、安価になったPCを多数同時に使って容易に超高速処理ができるようになりました。

またGPU(グラフィックボード)という市販されてる画像処理を高速化する部品をPCに接続することで、計算や処理を飛躍的に高速化する手法もポピュラーです。

実はこれらは少しパソコンに詳しい人なら誰でも、もちろん犯罪集団でも簡単に活用できる技術です。これを使うと、上記の解析時間を数百~数千倍高めることはできてしまいます。

上記のWikipedia記事には次のような記載もあります。

一部ハッカーなどは「良く的中する効率が良い辞書」の育成の為に、「過去の流出したパスワードからの傾向性分析」などに血道をあげる者もおり、あるいはどちらの辞書が優秀か、ハッカー同士で競い合うケースもある。実際には、総当たり攻撃と辞書攻撃を組み合わせて、総当たりしつつも確率が高いワードから取り掛かり、時短を図るケースも多い。

■引用:Wikipedia「総当たり攻撃」より

 

さらにもっとすごい話ですが「量子コンピューター」という、今のコンピュータとは全く異なる理論で動く「超高速コンピューター」の研究が進んでいます。

試作品はすでに完成し、近年には実用化するめどが立ってきました。

量子コンピューターが実用化されると、「今のスーパーコンピューターで何年もかかるような複雑膨大な計算が一瞬で終わってしまう」、もはや次元の違う速さとなり、パスワードの解析など何文字あっても一瞬で解読でき、結果としてパスワードの長さは全く意味がなってしまいます。

もっともその頃までにはパスワードとは全く異なる認証技術が生まれているでしょう。

 

 

トランプ前大統領の Twitterの安易なパスワードが破られる!?

ここで話題を変えて、パスワードに関係したおもしろい話題をひとつ!

トランプ前大統領はTwitterのヘビーユーザーだったことは有名ですが、2020年10月にオランダのセキュリティ専門家のVictor Gevers氏が「トランプ氏のTwitterのパスワードを見つけてハッキングした」と発表しました。

Gevers氏は2016年にもトランプ氏のパスワードを見破っていますが、その時のパスワードは「yourefired=お前は首だ」でした。

ご存知のように、このフレーズはトランプ氏が出演してていたテレビ番組の決まり文句で「そんな言葉を大切なパスワードにつかうなんて」とあきれてしまいました。

ところが、今回破られたのは「maga2020!」です。

magaとはトランプ氏が毎日のように叫んでいるMake America Great Again」のことで、またしても類推されやすい言葉を安易に使っていたわけで、「一国の大統領の安全保障はどうなってるんだ」と笑ってしまいました。

Victor Gevers氏は悪用目的でなく「大統領のセキュリティの問題を指摘するため」にハッキングを行ったので、犯罪には問われませんでした。

シークレットサービスから「知らせてくれてありがとう」と連絡があったそうです

ハッカーがトランプ大統領のTwitterアカウントのパスワードを当ててログインしたと報告
ハッカーコミュニティの中では知られた人物だというオランダのセキュリティ専門家が、2016年に続いて4年ぶりにトランプ大統領のTwitterアカウントへのログインに成功したことが報じられています。
GIGAZINE
 
https://gigazine.net/news/20201023-trump-twitter-account-hack/

 

>>次ページ では、強力なパスワードはどう作ったら良いの??