「パスワードを割り出す時間って、文字数ごとにどれだけ変わる?」ひと目で所要時間がわかる表
パスワード管理が苦手な人は結構いるのではないでしょうか。
短くシンプルなものはリスクが高いとわかっていても、覚えにくいとか入力が面倒だとか悩みどころです。
ハッカー(クラッカー)が本気を出して総当たりしたとき、解読にかかる所要時間の表をご覧ください。
(credit:Reddit/hivesystems)
やはり文字数が少ないと瞬時に割り出され、長いほど解読の所要時間は劇的に増えていきます。
数字や記号などを組み合わせるほうがいいこともわかりますね。
しかし、あまり長いと覚えられないし、入力するのも手間だし……。
何億年もかかるほどのパスワードは必要なくても、簡単すぎるパスワードは避けておきたいところです。
海外掲示板のコメントをご紹介します。
●3000年かかるのもオレンジ色なところが気に入った。
↑200年以上は全部グリーンでいいんじゃないのか。もうその時点で良いパスワードとして使っていいだろ。
↑90億年がまだ黄色だしな。宇宙の年齢の半分でもまだ安全じゃないんだ(笑)。
↑えっと警告としては、今後も演算性能は上昇するので、今は3000年でもすぐに赤いところに転落する。だから赤よりはましだが、一生破られないと楽観すべきでもない。
●標準的なパスワードのルール(8文字以上と組み合わせた文字)であれば、パスワード総当りのリスクよりも、各プラットフォームでパスワードの再利用、個人情報の漏洩、なりすましなどの危険のほうが大きい。
●2022年の今は、パスワードがクラウドサービスで設定されて、レートリミット(リクエスト数の制限)をかけて、疑わしいものに自動ブロックがあれば4文字で十分。
●12345? それはすごい! 自分もスーツケースはその組み合わせ。
●何兆年たっても破られないのは気に入った。現実は1年さえ試みない。その口座のアカウントが億万長者でもない限りね。価値がない。
●率直な疑問:ほとんどのサービスが3回のトライでロックされるのに、なぜこれが関係あるんだ。
●ポイントは、文字の長さに比べて複雑さは重要ではない。5〜6文字ならシンプルなものと同じくらい複雑な組み合わせは同じスピードで割り出されている。
●みんな重要なアカウントは2段階認証していないのかい?
↑ほとんど誰もしてない。平均的な人は不便なのでしない。
●IT系で働いている。
どんなセキュリティシステムでも入り込む最高の方法は、偽のMicrosoftサイトのリンクを入れたメールを送ること。安っぽい造りでも(Microsoftのスペルが間違っているのを見たことがある)。もっともらしいメールでなくても良い(ひどいGoogle翻訳でも良い)。
2番目に良い方法は、物理的にユーザーの画面に貼ってある付箋を見ること。それは物理的にその場にいる必要があるけどね。
強力なパスワードで頻繁(週、月、3か月ごと)に変えてもセキュリティ上は大したことはない。パスワードの再利用を促進させるだけで、パスワードの後ろに 「_1」「_2」「_3」などを加える人が多い。
今どきはスマホを使った2段階認証など工夫されていますが、あやしい偽メールのリンクを踏まないように注意ですね。