パスワード強度の新常識とは?~8文字(8桁)のパスワードは今では危険

パスワードをあらゆる手段で盗み出すハッカーのイメージ

では、パスワードをどう作ったらよいのか?

現実的に起こるリスクを賢く避けましょう。

心配ばかりしても、きりが無いありません。ここは現実的に、個人レベルで「バスワード強度を高める」大原則に立ち返りましょう。

つまり

  • 【推測されない文字列にする】・・・安易な、よく使われる文字列を避ける。
  • 【文字数を長くする】・・・とにかく長いパスワードを使用する

ことにつきます。

「いったい何文字増やせばよいのか?」の正解はありません。

多数のコンピューターを使って時間をかけて高速処理して総当たりで調べれば、どんなパスワードも破られる可能性はあります

しかし国家機密を扱うわけでもない、普通の人なら「過度に防御する必然性」はないです。

またほとんどのオンラインサービスやパソコン、スマホは「総当たり攻撃を防ぐ防御システム」も組み込まれています。

とはいえ、パソコンに詳しい人が「好奇心から解読できて、不正ログインを許してしまう」、8文字では明らかに少ないです。

では現実的に文字数は何文字ならパスワード強度は十分なのでしょうか?

政府の見解を見てみましょう。

 

総務省の「インターネットの安全・安心ハンドブック」の推奨見解は「パスワードは10文字」

パスワード強度については「1文字増やせば解読は100倍近く手間取る」と言われています。

総務省内閣サイバーセキュリティセンターの「インターネットの安全・安心ハンドブック」に参考になる記載があります。

要約しますと、

「英大文字小文字+数字+記号混じりの組み合わせるということは、
大文字アルファベット26通り
+アルファベット小文字26通り
+数字10通り
+記号26通り)
88通りの選択肢がある

数字10個だけ使ったパスワードだと、解読するためには100億通りの計算必要。
英大文字小文字+数字+記号の88通りすべてを使った10桁のパスワードだと
約 2785 京 97 兆 6009 億通り

よってログイン用パスワードは「英大文字・小文字+数字+記号の混在で 10 桁」を推奨

■以上引用:総務省内閣サイバーセキュリティセンター

 

しかしいくらパスワード強度が高いとは言え、「英大文字・小文字+数字+記号の混在で 10 桁」なんて覚えられますか?

私は無理です。

 

パスワードの心配は忘れたい方へ~推奨のパスワードの設定方法

しかし、「半角英大文字・小文字+数字+記号の混在」なんて覚えられないですよね。

私のお勧めとしては今後5年10年のコンピューターの進歩を踏まえて

  • 「最低14文字」できれば「それ以上」の長いパスワードがおすすめ。
  • 無理にいろいろな文字列を使う必要はない
  • 意味不明のパスワード作りは止めて、意味が通じる単語や文章を組み合わせた「パスフレーズ」を作る

です。これなら近い将来パスワードに代わる新たな認証方法が普及するまでの間、ずっと安心して使える強度があると考えています。

大切なパスワードはすべてこの原則通りの強度で設定して、ずっと使い続けたい」が、この文字数に落ち着いた理由です。

無理にいろいろな文字列を使わなくても済む、パスワードの作り方は以下のブログをご覧ください。

ブログ内の関連記事(新しいウィンドウで開きます)

コンピューターの進歩によってパスワードの作り方の基準は変わっています。今では「8文字(8桁)のパスワードは弱くて危険」で「強いパスワードは定期的な変更は不要」が正しい考え方です。どうして8文字では危険なのか?最新の研究を元に、最強のパス[…]

長くて安全なパスワードを作るヒント
ブログ内の関連記事(新しいウィンドウで開きます)

パスワードには「使っただけで危険」な単語や、避けるべき文字の使い方。組み合わせ方があります。安全なパスワードのために「使ってはいけない言葉」「悪いパスワード例」「危険な単語」「危険な組み合わせ」を知りましょう。犯罪者は何十億ものパス[…]

「覚えるなんてとうてい無理」という方は?

「14文字なんてあり得ない、覚えられない」とお思いでしょうが、「英大文字・小文字+数字+記号の混在パスワード」なんて短くても覚えることはできません。

長くても記憶できるパスワードを作った方が楽ですし、作り方をマスターしたら14文字でも20文字でも平気になります。

しかし覚えやすいパスワードでも、10も20も記憶するのは不可能です。

ではどうしたら良いか?

その方法はパスワードマネージャー(パスワード管理ツール)を使うことです。当サイトでしっかりご説明します。

ちなみに私自身はパスワードマネージャー(パスワード管理ツール)を使うことを前提に「最低15文字」「重要アカウントは20文字以上」をルールとしています。

ブログ内の関連記事(新しいウィンドウで開きます)

強固なパスワードをあなたに代わって生成し安全に保管し、入力も代行してくれる「パスワードマネージャー(パスワード管理ツール)」は、パスワードに関する悩みを解消するだけでなく、秘密情報の保管場所としても利用できる、まさに現代の必需品です。今[…]