実際に超堅牢パスワードを作ってみますの
堅牢なパスワードの生成方法はいくつかあるが、ここではマカフィー流とマイクロソフト流を試してみよう。
マカフィーの場合は、登録サービスを起点としてパスワードを生み出す方法を紹介している(関連記事)。
- 自分に関係する言葉
- アクセス先のウェブサイト
まずは上記2つを起点とする。今回は、
- 自分に関係する言葉→ kuroko
- アクセス先のウェブサイト→ ascii.jp
として考えてみた。結果、生成されたパスワードが下記だ。
- 生成したパスワード→ 123ku6K0AsC1ijp
具体的な手順は以下の通りだ。まず、“自分に関係する言葉”の冒頭に「123」を追加。この部分はパスワードを思い出すきっかけにするのもいい。
次に、数字・大文字・小文字を並存させるべく、「kuroko」を「ku6K0」に変更。同じくascii.jpも「AsC1ijp」に。この時点で、数字と大文字・小文字が入り交じった16文字のパスワードができた。
さらに記号類も使えるサービスならば、「1」を「|」、「i」を「:」に変更すれば、より難解なパスワードができあがる。
- 生成したパスワードに記号を加える→ 123ku6K0AsC|:jp
サービスによって利用できる記号が決まっているため、そのときに応じて切り替える必要はあるが、カンタンなステップで複雑なパスワードをあっさりと用意できる。もちろん、長いため覚えるのが大変なのだが、上記のようにキーになる部分を用意して記憶しておくのが望ましい。
次にマイクロソフト流を見てみよう。マカフィー流とやり方は似ているが、基本が文章である点に注目だ。
- 1~2つの文章を考える
- 文を英語もしくはローマ字表記に変換
- 単語を短縮するか、わざとスペルミスを生じさせる
- 数字を追加してパスワードを長くする
というやり方になっている。文章を記憶しておくことで、そこから紐付いてパスワードを思い出すといったやり方がいいだろうか。
- 1~2つの文章を考える→ 黒子は俺の嫁
- 文を英語もしくはローマ字表記に変換→ Kurokohaorenoyome
- 単語を短縮するか、わざとスペルミスを生じさせる→ Krkhaornym
- 数字を追加してパスワードを長くする→ Krkhaornym2007-2013
上記のようにパスワードを生成してみた。冒頭部のみ大文字の状態だが、マイクロソフトのチェッカー結果は「強」だったので、効果的だとわかるうえに、意外と覚えやすいのが特徴といえるだろう。
さらに堅牢なパスワードにしたいのであれば、マカフィー流とマイクロソフト流をミックスしてもいい。ただ、試しにやってみたところ、だいぶ覚えにくかったので、重要なパスワード用に限るといいだろう。
- 2つの流儀を混ぜて生成したパスワード→ K6kHa0rnym2o07-2OI3+S
2つの要素を混ぜて生成してみたところ、マイクロソフトのチェッカーでの評価がようやく「とても強い」になった。
パスワードの文字数は10文字以上になると飛躍的に堅牢性が高くなるとされているため、最後のように複雑なパスワードばかりでなくてもいいが、自分にとってもっとも重要なパスワードを設定する場合は、意識してみるといいだろう。
パスワードクラックの現状
■パスワードは、攻撃を遅延させるための時間稼ぎにすぎない
■解読することは必ず可能(時間をかければ)
・パスワード解読にかかる最大時間(ワークファクタ)
(パスワードのパターン数=文字種類^文字数)÷解読マシンによる処理数
例)パスワードに利用可能な文字種類が「英大文字・英小文字・数字」の場合
・文字種類:62種類(英大文字26種類+英大文字36種類+数字10種類)
文字数 | パターン数 | 解読時間 |
---|---|---|
6文字 | 56,800,235,584通り(約568億通り) | 約17秒 |
8文字 | 218,340,105,584,896通り(約218兆3401億通り) | 約18時間 |
9文字 | 13,537,086,546,263,552通り(約1京3537兆0865億通り) | 約48日 |
10文字 | 839,299,365,868,340,200通り(約83京9299兆3658億通り) | 約8年 |
※解読時間は1秒間に33億パターンを試行できるGPUを利用したマシンで解読を実施した場合の想定時間。参考)「On the GPU, it takes less than a second at a rate of 3.3billion passwords per second.」http://www.zdnet.com/blog/hardware/cheap-qpus-are-rendering-strong-passwords-useless/13125
「サイバーセキュリティの脅威~ブルートフォース攻撃の脅威と対策」マカフィー株式会社サイバー戦略室(2013.04.19)より抜粋
この連載の記事
-
第29回
デジタル
2013年セキュリティ事件を振り返る:日本を狙ったマルウェアで被害が続発 -
第28回
デジタル
7億円盗んだ「日本のオンラインバンキング専用」ウイルス -
第27回
デジタル
第6話:情報漏洩アプリを作ってもお咎めなし!? -
第26回
デジタル
アナタも国家組織に狙われている!具体的にはトイレで! -
第25回
デジタル
第5話:スマホの中身を合法(?)的にゲットせよ!? -
第23回
デジタル
オンラインゲーマーよ!6文字パスワードは17秒で破られる -
第22回
デジタル
第4話:ボットネットは変態ゾンビの夢を見るか? -
第21回
デジタル
第3話:JKのスマホがゾンビ化で世界がヤバイ -
第20回
デジタル
魔法少女(物理)見参!第2話「その名はマカルージュ」 -
第19回
デジタル
魔法少女も始めました!第1話「セキュリティ突破会議」 - この連載の一覧へ