社内のシステムにおいて、例えばOSやDBのパスワード等、どのくらいの長さでどのくらい複雑なものが良いのか、時代に寄って変わってきます。解析するマシン性能があがると、たちまち設定したパスワードも強度が低下し陳腐化してしまいます。とりあえず、2015年度においてどのくらいの強度にすべきなのか調べてみました。
日本で言われる安全なパスワード強度
ちょっと古いですが、IPAの2012年の啓発情報によると、
パスワードの強化…使用できる文字種(大小英文字、数字、記号)全てを組み合わせ、8文字以上のパスワードにしましょう。辞書に載っているような単語や人名は使用を避けて下さい。
とあります。8文字以上で、大小英数字記号の組み合わせで果たして本当に良いのでしょうか。CPUを作っているインテルのサイトで、強度がチェックできるので試してみました。 サイト https://www-ssl.intel.com/content/www/us/en/forms/passwordwin.html ランダムに生成した「K2a!p(#7」という、大小英数字記号込みの8桁を入れると・・・・・
「It would take about 1 hour to crack your password.」 1時間でクラックできちまうぜ!とな・・・。最早、何の役にも立ちません。では、パスワードを「A|G2%$LqRf」という風に、複雑性は同じで(これ以上、複雑にできない!(笑))、10文字にして見ると、
今度はCongratulations!が付きました。「It would take about 4 months to crack your password.」 4ヶ月でクラックできるとなりました。この2文字の差というのは大きいですね。これからすると、パスワード長は10字以上が良いのでしょう。ただ、長く、複雑にすればするほど覚えることはできず、紙やファイルに書き出したりしてしまうのでそれはそれでリスクになります。
例えば、パスワードの複雑性は、大小英数字記号の組み合わせでパスワード長は8文字以上、ただしパスワードの試行回数を5回超えたら、そのアカウントはロックされる、といった内容であれば、パスワード長は8文字で良いのかもしれません。どんなに解析するコンピュータの性能が上がったといえ、施行できる回数が限られるからです。 そのような、複数の組み合わせ技でパスワードは守られるべきと思います。
コメント