パスワード解析にかかる時間は1秒以下…(((;゚Д゚))) 安全なパスワードの条件ってなに?

  • このエントリーをはてなブックマークに追加
2015.06.26豆知識

ども!ともぞうです。

先日、パスワード解析ソフトを使って他人の家の無線LANからネット接続していたとして男性が逮捕された事件。

「きっとパスワードの桁数が少なかったから被害にあったのだろう」と思いたい所なんですが、調べたところなんと英文字6桁のパスワードなら1秒以下、8桁ですら46秒で解析ができちゃうそうなんです…。

これは怖すぎる…ということで今回は「突破されにくいパスワード」とはどんな文字種や桁数を使ったものなのか?詳しく解説いたします!

主なパスワード突破の為の攻撃手法

「自分を守るためには敵の攻撃法を知っておくべし」ということで、まずは攻撃者がwebサービスのID・パスワードを突破する際に用いる方法を見てみましょう。

主に使われるのは以下の5つの方法があります。

1. ブルートフォース攻撃

すべての文字の組み合わせをひたすら試していく手法。 文字数などで解析時間は左右されるが、最後には必ず成功する。

2. 辞書攻撃

予めパスワードによく使われそうな単語を登録した辞書を用意し、順番に試していく手法。総当りになるブルートフォース攻撃に比べ解析時間は短くなる。

3. パスワードリスト攻撃

漏洩したID/パスワードを利用して別サイトの突破を試みる手法。パスワードなどの使い回しを狙っている。

4. リバースブルートフォース攻撃

サービスのIDが数字のみや特定の法則がある場合に、パスワードを固定してIDを変更していく手法。

5. ジョーアカウント探索

IDとパスワードを同じにしているターゲットを狙った手法。

この5つの中で一番よく用いられるのは「ブルートフォース攻撃」で、この手法は時間さえかければ必ず突破可能。

なので対処としては「いかに解析に時間のかかるパスワードを設定するか」ということに。

それではパスワードに用いる文字の種類と桁数で、どれだけ解析時間が変わるのか見ていきましょう!

パスワードは最低10桁以上が必須

参考にしたのは株式会社ディアイティが公開している、パスワードで保護されたファイルを「ブルートフォース攻撃(総当たり攻撃)」で解析した時に掛かった時間。

まず最初は「アルファベットの小文字(26文字)」だけで構成されたパスワードの場合。

なんと6桁までは脅威の1秒以下!8桁でも46秒でパスワードが突破されてしまっています。今使っているパスワードがアルファベットだけの方!今スグ変えないとヤバイですよ…。

続いては「アルファベット小文字/大文字 + 数字(62文字)」の組み合わせ。よく推奨される組み合わせですね。

推奨組み合わせとは言え、6桁で13秒…。10桁でようやく年単位の時間がかかるレベルに。

最後は「アルファベット小文字/大文字 + 数字 + 記号(93文字)」。

サイトによっては対応していない場合もありますが、パスワードに記号を追加すると解析時間はかなり伸びてきます。とは言っても6桁以下だとやはり瞬殺なので8桁以上は必須ですね。

解析時間の早さにただただ驚きますが、さらにこの実験は一般に入手可能なスペックのパソコンで行われた結果。いやはや恐ろしい…。

イメージ画像 Photo by DELL

と言ってもこの検証結果はオフラインでの処理であって、オンラインの場合は回線速度やWebサービスによってもっと時間がかかると思われます。また、パスワード入力から再入力できるまでのタイムダグもあるので実際には「数秒で突破される」ということは現実的ではありません。

しかしながら少ない桁数で使う文字種が少ないとリスクが高いのは事実で、最低限「アルファベット小文字/大文字 + 数字」で10桁以上のパスワードは設定しておく必要があることは分かりました。

しかし実際問題、「アルファベット小文字/大文字 + 数字」で10桁以上のパスワードを作り、なおかつ「サイト毎に別のものを用意する」となると考えるのも大変ですし、覚えきれないですよね…。

そこで登場するのが「パスワード管理」アプリなんです。

「パスワード管理」アプリのすすめ

パスワード管理」アプリを使うことを進める最大の理由は、何と言ってもパスワード生成機能。

パスワード管理アプリと言えば有名な『1Password』を例に見てみると、「桁数」を決めるだけでランダムにアルファベット小文字/大文字、数字の混ざったパスワードを生成出来ますし、

数字の文字数」を増やしたり、「記号の文字数」の調整が簡単に出来るので、総当り攻撃を受けても突破されにくいパスワードが簡単に出来てしまうんです。

さらにこれらのパスワード管理アプリにはWindowsやMac用も用意されており、iPhoneと同期すればパソコンでパスワードが入力が必要な時、「iPhoneを見ながら複雑なパスワードを入力する」といった手間もありません。

使い始めは登録がちょっと手間ですが、一度設定してしまえば覚えておくのはアプリを開くためのマスターパスワード1つになるので、管理もラクチンという訳です。

まとめ

「SNSの乗っ取り」や「オンラインショッピングの不正利用」に繋がる攻撃から身を守るために必要なパスワードについて、解説いたしましたがいかがだったでしょうか?

おさらいでまとめてみるとポイントは以下の3つ!

  • 4〜6桁でアルファベットのみのパスワードは秒殺で突破される可能性あり
  • 最低限「アルファベット小文字/大文字 + 数字」の組み合わせで10桁以上にするべし
  • パスワードの使い回しを防ぎために「パスワード管理」アプリを活用しよう

以上のことを実践すれば被害に会う確率を下げられることは間違いありません。他人事とは思わずこれを機会に自分のパスワードを見直してみてくださいね。

▼「パスワード管理」アプリで迷ったらこちらの記事へ。様々なタイプのアプリを紹介しているので、好みにあったものが見つかるはずですよ!
【特集】パスワードの使い回しは危険!今すぐ入れたい無料で使えるパスワード管理アプリ3選

関連する記事