実際に超堅牢パスワードを作ってみますの
堅牢なパスワードの生成方法はいくつかあるが、ここではマカフィー流とマイクロソフト流を試してみよう。
マカフィーの場合は、登録サービスを起点としてパスワードを生み出す方法を紹介している(関連記事)。
- 自分に関係する言葉
- アクセス先のウェブサイト
まずは上記2つを起点とする。今回は、
- 自分に関係する言葉→ kuroko
- アクセス先のウェブサイト→ ascii.jp
として考えてみた。結果、生成されたパスワードが下記だ。
- 生成したパスワード→ 123ku6K0AsC1ijp
具体的な手順は以下の通りだ。まず、“自分に関係する言葉”の冒頭に「123」を追加。この部分はパスワードを思い出すきっかけにするのもいい。
次に、数字・大文字・小文字を並存させるべく、「kuroko」を「ku6K0」に変更。同じくascii.jpも「AsC1ijp」に。この時点で、数字と大文字・小文字が入り交じった16文字のパスワードができた。
さらに記号類も使えるサービスならば、「1」を「|」、「i」を「:」に変更すれば、より難解なパスワードができあがる。
- 生成したパスワードに記号を加える→ 123ku6K0AsC|:jp
サービスによって利用できる記号が決まっているため、そのときに応じて切り替える必要はあるが、カンタンなステップで複雑なパスワードをあっさりと用意できる。もちろん、長いため覚えるのが大変なのだが、上記のようにキーになる部分を用意して記憶しておくのが望ましい。
次にマイクロソフト流を見てみよう。マカフィー流とやり方は似ているが、基本が文章である点に注目だ。
- 1~2つの文章を考える
- 文を英語もしくはローマ字表記に変換
- 単語を短縮するか、わざとスペルミスを生じさせる
- 数字を追加してパスワードを長くする
というやり方になっている。文章を記憶しておくことで、そこから紐付いてパスワードを思い出すといったやり方がいいだろうか。
- 1~2つの文章を考える→ 黒子は俺の嫁
- 文を英語もしくはローマ字表記に変換→ Kurokohaorenoyome
- 単語を短縮するか、わざとスペルミスを生じさせる→ Krkhaornym
- 数字を追加してパスワードを長くする→ Krkhaornym2007-2013
上記のようにパスワードを生成してみた。冒頭部のみ大文字の状態だが、マイクロソフトのチェッカー結果は「強」だったので、効果的だとわかるうえに、意外と覚えやすいのが特徴といえるだろう。
さらに堅牢なパスワードにしたいのであれば、マカフィー流とマイクロソフト流をミックスしてもいい。ただ、試しにやってみたところ、だいぶ覚えにくかったので、重要なパスワード用に限るといいだろう。
- 2つの流儀を混ぜて生成したパスワード→ K6kHa0rnym2o07-2OI3+S
2つの要素を混ぜて生成してみたところ、マイクロソフトのチェッカーでの評価がようやく「とても強い」になった。
パスワードの文字数は10文字以上になると飛躍的に堅牢性が高くなるとされているため、最後のように複雑なパスワードばかりでなくてもいいが、自分にとってもっとも重要なパスワードを設定する場合は、意識してみるといいだろう。
パスワードクラックの現状
■パスワードは、攻撃を遅延させるための時間稼ぎにすぎない
■解読することは必ず可能(時間をかければ)
・パスワード解読にかかる最大時間(ワークファクタ)
(パスワードのパターン数=文字種類^文字数)÷解読マシンによる処理数
例)パスワードに利用可能な文字種類が「英大文字・英小文字・数字」の場合
・文字種類:62種類(英大文字26種類+英大文字36種類+数字10種類)
文字数 | パターン数 | 解読時間 |
---|---|---|
6文字 | 56,800,235,584通り(約568億通り) | 約17秒 |
8文字 | 218,340,105,584,896通り(約218兆3401億通り) | 約18時間 |
9文字 | 13,537,086,546,263,552通り(約1京3537兆0865億通り) | 約48日 |
10文字 | 839,299,365,868,340,200通り(約83京9299兆3658億通り) | 約8年 |
※解読時間は1秒間に33億パターンを試行できるGPUを利用したマシンで解読を実施した場合の想定時間。参考)「On the GPU, it takes less than a second at a rate of 3.3billion passwords per second.」http://www.zdnet.com/blog/hardware/cheap-qpus-are-rendering-strong-passwords-useless/13125
「サイバーセキュリティの脅威~ブルートフォース攻撃の脅威と対策」マカフィー株式会社サイバー戦略室(2013.04.19)より抜粋

この連載の記事
- 第29回 2013年セキュリティ事件を振り返る:日本を狙ったマルウェアで被害が続発
- 第28回 7億円盗んだ「日本のオンラインバンキング専用」ウイルス
- 第27回 第6話:情報漏洩アプリを作ってもお咎めなし!?
- 第26回 アナタも国家組織に狙われている!具体的にはトイレで!
- 第25回 第5話:スマホの中身を合法(?)的にゲットせよ!?
- 第23回 オンラインゲーマーよ!6文字パスワードは17秒で破られる
- 第22回 第4話:ボットネットは変態ゾンビの夢を見るか?
- 第21回 第3話:JKのスマホがゾンビ化で世界がヤバイ
- 第20回 魔法少女(物理)見参!第2話「その名はマカルージュ」
- 第19回 魔法少女も始めました!第1話「セキュリティ突破会議」
- この連載の一覧へ