TOP セキュリティ対策 セキュリティ最新ニュース パスワードは何文字以上がいいのか?ベストは〇文字以上!

パスワードは何文字以上がいいのか?ベストは〇文字以上!

パスワードの文字数による総当たりの組数

パスワードは総当たり攻撃といいまして、PCを使って、膨大な文字数の組み合わせを全部試してみて、正解を当ててしまうことができます。

半沢直樹のドラマでもやっていましたが、実は時間をかければ可能なんです。

以下wikipediaに掲載されているパスワードの文字数別総当たり回数比較です。

総当たり攻撃の全パターン試行回数
使用する文字の種類 1文字の場合 4文字の場合 6文字の場合 8文字の場合 10文字の場合
数字のみ(0~9) 10 10,000 1,000,000 100,000,000 10,000,000,000
英字(大文字、小文字区別しない) 26 456,976 38,915,776 208,827,064,576 141,167,095,653,376
英字(大小区別しない)+数字 36 1,679,616 2,176,782,336 2,821,109,907,456 3,656,158,440,062,976
英字(大文字、小文字区別)+数字 62 14,776,336 56,800,235,584 218,340,105,584,896 839,299,365,868,340,224
英字(大小区別)+数字+記号31文字 93 74,805,201 646,990,183,449 5,595,818,096,650,401 48,388,230,717,929,320,352
英字(大小区別)+数字+記号34文字 96 84,934,656 782,757,789,696 7,213,895,789,838,336 66,483,263,599,150,104,576

文字数が増えるほど、また記号や大文字や数字などが入るほど、総当たり回数が増えていくことがわかりますね。10桁で、記号、大文字、数字も含めた場合、とんでもない組み合わせ数になっています。

 

パスワード1文字増えるごとに解読にかかる時間は激増

そして、実際上記の組み合わせを行うためにかかる時間をIPAという団体がごく一般的なPCで調査したところ以下の結果になりました。

使用できる文字数と入力桁数によるパスワードの最大解読時間(IPA,2008)
使用する文字の種類 4文字の場合 6文字の場合 8文字の場合 10文字の場合
英字(大文字、小文字区別しない) 約3秒 約37分 約17日 約32年
英字(大文字、小文字区別)+数字 約2分 約5日 約50年 約20万年
英字(大文字、小文字区別有)+数字+記号 約9分 約54日 約1千年 約1千万年

 

また、上記データはちょっと古いものでしたので、PCは毎年どんどん計算能力が上がっていきますが、2020年に調査したパスワード解読までにかかる時間のデータはこちらです。

設定方法 数字 小文字 小+大文字 小+大+数 小+大+数+記号
6文字 1秒以下 1秒以下 1秒以下 1秒 5秒
7文字 1秒以下 1秒以下 25秒 1分 6分
8文字 1秒以下 5秒 22分 1時間 8時間
9文字 1秒以下 2分 19時間 3日 3週間
10文字 1秒以下 1分 1ヶ月 7ヶ月 5年
11文字 2秒 1日 5年 41年 400年
12文字 25秒 3週間 300年 2,000年 34,000年

元サイトはこちら⇒

組み合わせ数で言われてもピンときませんが、解読までにかかる時間でみるとイメージしやすいですね。今は、スーパーコンピューターや量子コンピューターなどもありますので、最低でも12桁以上、かつ大文字や記号も含めた方がいいのかなと思いますね。

 

おすすめのパスワードは何文字以上がいいのか?

先ほどのIPAという団体では、以下の条件でした。

IPA 推奨パスワードの条件

①最低でも10桁以上  ②大文字小文字がある  ③記号も使っている

 

google 推奨パスワードの条件

①12文字以上 ②半角英字、数字、記号を使っている

団体や企業ごとにお勧めのパスワード桁数は若干違いますが、先ほどの解読時間を考えると、当サイトとしては、最低12桁以上。そして、記号、大文字も含めることをお勧めしたいと思います。

12桁以上のパスワードの作り方

長いパスワードだと、覚えるのが大変になってきますよね。かといって、生年月日等を入れれば、簡単に解読されてしまう恐れも。

コアパスワードを設定

12桁以上のパスワードは、コアパスワードを設定することをお勧めします。

「コアパスワード(8桁くらい)」 + 「 記号  」 + 「 数字 」などの組み合わせです。

例えば、「todayisrain(11桁)」+「$」+「22」 ➡ todayisrain$22

という作り方です。

つまり覚えやすい短いパスワードに記号、数字などを組み合わせる方法です。

名前や生年月日を変えるマイルールを考える

例えば、watanabeではなく、aを全部bにしてみて、wbtbnbeにしてみる。

生年月日が0615であれば、これを倍して、1230にしてみる。

自分だけのマイルールで覚えやすいものを変換することで、安全性が高まります。

 

google workspaceでは、ユーザーのパスワードの桁数指定が可能

有料版google workspaceでは、パスワードの桁数指定が可能です。

googleworkspaceパスワード長さ設定

左側のメニューから セキュリティ > 認証 > パスワードの管理に進みましょう。

安全なパスワードを適用するにチェックをいれましょう。これで、文字だけとか、passwordのような簡単に解読されそうなパスワードは設定ができなくなります。

そして、長さも設定ができます。おすすめは12桁以上です。

なお、microsoft365では、パスワードの有効期限をポリシーで設定ができるのですが、桁数や記号を入れるなどのルール設定はできません。運用ルールとしては社内で定めることしかないですね。

パスワードを定期的に変更は不要?

実は、総務省やアメリカのNIST(米国国立標準技術研究所)などは、パスワードを定期的に変更する必要はないという声明を出しています。定期的に変更する場合、覚えやすいパスワードにせざるを得ないので、より簡単なパスワードになってしまいがちで、逆に安全性が損なわれるということなんですね。

元記事はこちら⇒

 

まとめ

パスワードの長さについて、まとめてみました。特に法人の場合、従業員が覚えやすい安易なパスワードを使ってしまう可能性がありますので、google workspaceのような設定ができるのはありがたいですね。

また、定期的に変更するのは大変です。ある程度セキュリティの高いパスワード作成して、それを使うことの方が重要ではないでしょうか。

 

関連記事

 

 

関連記事

ICTオフィス相談室 最新記事