パスワードは何文字以上がいいのか？ベストは〇文字以上！

パスワードの文字数による総当たりの組数

パスワードは総当たり攻撃といいまして、PCを使って、膨大な文字数の組み合わせを全部試してみて、正解を当ててしまうことができます。

半沢直樹のドラマでもやっていましたが、実は時間をかければ可能なんです。

以下wikipediaに掲載されているパスワードの文字数別総当たり回数比較です。

総当たり攻撃の全パターン試行回数

使用する文字の種類	1文字の場合	4文字の場合	6文字の場合	8文字の場合	10文字の場合
数字のみ（0～9）	10	10,000	1,000,000	100,000,000	10,000,000,000
英字（大文字、小文字区別しない）	26	456,976	38,915,776	208,827,064,576	141,167,095,653,376
英字（大小区別しない）+数字	36	1,679,616	2,176,782,336	2,821,109,907,456	3,656,158,440,062,976
英字（大文字、小文字区別）＋数字	62	14,776,336	56,800,235,584	218,340,105,584,896	839,299,365,868,340,224
英字（大小区別）＋数字＋記号31文字	93	74,805,201	646,990,183,449	5,595,818,096,650,401	48,388,230,717,929,320,352
英字（大小区別）＋数字＋記号34文字	96	84,934,656	782,757,789,696	7,213,895,789,838,336	66,483,263,599,150,104,576

文字数が増えるほど、また記号や大文字や数字などが入るほど、総当たり回数が増えていくことがわかりますね。１０桁で、記号、大文字、数字も含めた場合、とんでもない組み合わせ数になっています。

 

パスワード1文字増えるごとに解読にかかる時間は激増

そして、実際上記の組み合わせを行うためにかかる時間をIPAという団体がごく一般的なPCで調査したところ以下の結果になりました。

使用できる文字数と入力桁数によるパスワードの最大解読時間(IPA,2008)

使用する文字の種類	4文字の場合	6文字の場合	8文字の場合	10文字の場合
英字（大文字、小文字区別しない）	約3秒	約37分	約17日	約32年
英字（大文字、小文字区別）＋数字	約2分	約5日	約50年	約20万年
英字（大文字、小文字区別有）＋数字＋記号	約9分	約54日	約1千年	約1千万年

 

また、上記データはちょっと古いものでしたので、PCは毎年どんどん計算能力が上がっていきますが、２０２０年に調査したパスワード解読までにかかる時間のデータはこちらです。

設定方法	数字	小文字	小+大文字	小+大+数	小+大+数+記号
6文字	1秒以下	1秒以下	1秒以下	1秒	5秒
7文字	1秒以下	1秒以下	25秒	1分	6分
8文字	1秒以下	5秒	22分	1時間	8時間
9文字	1秒以下	2分	19時間	3日	3週間
10文字	1秒以下	1分	1ヶ月	7ヶ月	5年
11文字	2秒	1日	5年	41年	400年
12文字	25秒	3週間	300年	2,000年	34,000年

元サイトはこちら⇒

組み合わせ数で言われてもピンときませんが、解読までにかかる時間でみるとイメージしやすいですね。今は、スーパーコンピューターや量子コンピューターなどもありますので、最低でも１２桁以上、かつ大文字や記号も含めた方がいいのかなと思いますね。

 

おすすめのパスワードは何文字以上がいいのか？

先ほどのIPAという団体では、以下の条件でした。

IPA　推奨パスワードの条件

①最低でも１０桁以上　　②大文字小文字がある　　③記号も使っている

 

google 推奨パスワードの条件

①12文字以上　②半角英字、数字、記号を使っている

団体や企業ごとにお勧めのパスワード桁数は若干違いますが、先ほどの解読時間を考えると、当サイトとしては、最低12桁以上。そして、記号、大文字も含めることをお勧めしたいと思います。

12桁以上のパスワードの作り方

長いパスワードだと、覚えるのが大変になってきますよね。かといって、生年月日等を入れれば、簡単に解読されてしまう恐れも。

コアパスワードを設定

12桁以上のパスワードは、コアパスワードを設定することをお勧めします。

「コアパスワード（8桁くらい）」　＋　「　記号　　」　＋　「　数字　」などの組み合わせです。

例えば、「todayisrain（11桁）」＋「$」＋「22」　➡　todayisrain$22

という作り方です。

つまり覚えやすい短いパスワードに記号、数字などを組み合わせる方法です。

名前や生年月日を変えるマイルールを考える

例えば、watanabeではなく、aを全部bにしてみて、wbtbnbeにしてみる。

生年月日が0615であれば、これを倍して、1230にしてみる。

自分だけのマイルールで覚えやすいものを変換することで、安全性が高まります。

 

google workspaceでは、ユーザーのパスワードの桁数指定が可能

有料版google workspaceでは、パスワードの桁数指定が可能です。

左側のメニューから　セキュリティ　＞　認証　＞　パスワードの管理に進みましょう。

安全なパスワードを適用するにチェックをいれましょう。これで、文字だけとか、passwordのような簡単に解読されそうなパスワードは設定ができなくなります。

そして、長さも設定ができます。おすすめは12桁以上です。

なお、microsoft365では、パスワードの有効期限をポリシーで設定ができるのですが、桁数や記号を入れるなどのルール設定はできません。運用ルールとしては社内で定めることしかないですね。

パスワードを定期的に変更は不要？

実は、総務省やアメリカのNIST（米国国立標準技術研究所）などは、パスワードを定期的に変更する必要はないという声明を出しています。定期的に変更する場合、覚えやすいパスワードにせざるを得ないので、より簡単なパスワードになってしまいがちで、逆に安全性が損なわれるということなんですね。

元記事はこちら⇒

 

まとめ

パスワードの長さについて、まとめてみました。特に法人の場合、従業員が覚えやすい安易なパスワードを使ってしまう可能性がありますので、google workspaceのような設定ができるのはありがたいですね。

また、定期的に変更するのは大変です。ある程度セキュリティの高いパスワード作成して、それを使うことの方が重要ではないでしょうか。

 

関連記事

 

 

法人向けセキュリティソフトの
料金自動一括比較サイトを新しくオープンしました！
　c-compe.com⇒

株式会社アーデントは、IT導入補助金の支援事業者を行っております！

アーデントからIT導入補助金を使ってクラウドツールを導入するメリットは以下の通りです。

メリット①対象ツールを２年間、半額、もしくは１／４で利用可！

メリット②会計、経費精算、請求書処理、受発注ツール導入なら、PCやタブレットの購入も補助が受けられ半額！

メリット③補助期間終了後は、公式価格よりお値引き！

メリット④各種IT活用、DX、保守サポートでより貴社のIT化を促進、生産性を向上します！

【弊社取り扱いクラウドツール】

GoogleWorkspace※、Microsoft365、kintone、サイボウズオフィス、chatwork、LINEWORKS、マネーフォワード、freee、楽楽精算、楽楽販売、楽楽勤怠、freeeサイン、クラウドサイン、勤革時、OASIS、zoho、GMOトラストログイン、バクラクシリーズ、カスペルスキー、ESET、ウイルスバスタークラウド、NotePM、RoboTANGO、Adobe Acorbat、leaf、ロジザードZERO、DX-Suite、LANSCOPE、iTutor、INNOVERAPBX、MOTTEL※、yoom※など

※こちらのツールは補助期間終了後の値引不可

また、上記以外のツールも取り扱いできるものが多々ありますので、一度ご相談ください。

IT導入補助金2024の詳細、お問合せはお電話頂くか、以下の記事を御覧ください↓

IT導入補助金お問合せ：03-5468-6097

以下の動画では、採択のポイントや申請にあたっての注意点などを詳しく解説していますので、
あわせてご覧ください！