週刊アスキー

  • Facebookアイコン
  • Twitterアイコン
  • RSSフィード

パスワードが破られる時間を2世紀まで延ばす方法!?

ハッキングに6億年かかるパスワードは意外にも「ThisIsMyPasswrd」

2020年06月18日 07時00分更新

ハッキングを遅らせる文字列とは?

・昨今、テレワークなど効率的な働き方が浸透中。Webサービス利用が増えると共に、管理すべきパスワードも急増。
・「使い回し」と「単純な文字列」はNG。Webサービスを乗っ取られてしまう。
・対策は、「1つ捻った」覚えやすい文章にすること。

テレワーク拡大で「パスワードの使い回し」大量発生!?

 数年前から始まった働き方改革の推進に伴い、効率的な働き方を模索する動きが社会全体で進んでいます。テレワークやオンライン授業といった働き方/学び方も、昨今の情勢と相まって選択肢の1つとして普及していくでしょう。

 そして労働効率の改善にはこれまで以上にWebサービスの利用が重要です。そして同時に、それらを利用するためのログイン情報、つまりIDとパスワードがWebサービスの数だけ必要になります。ID=メールアドレスであることが多いので、正確にはパスワードが急増するでしょう。しかし面倒だからと言って、使い回しは絶対にNGです。

 この連載でも何度か説明しましたが、同じパスワードを複数のWebサービスで使い回すと、いずれかのWebサービスからログイン情報が漏れたときに被害が拡大してしまいます。なぜなら、情報を盗むような悪意ある人たちは「パスワードは使い回されているもの」と踏んで行動するため、入手したログイン情報はさまざまなWebサービスでも試すからです。結果、同じパスワードだったWebサービスがほぼ同時に乗っ取られてしまうのです。

6文字増やすだけで2世紀破れないパスワードに変身!?

 とはいえ、単にパスワードをWebサービスぶん作れば良いというわけではありません。

 覚えやすいからと「1234567」「ABCDEFG」といった単純な文字列にしてしまうとログイン情報の流出以前に、悪意ある人たちが日常的に行っている「総当たり攻撃(使われやすい文字列を試し続けることで結果的に正解にたどり着く方法)」で破られてしまいます。この方法は意外と優秀(?)で、小文字のみ7字のパスワードなら0.3秒以内に破ってしまいます。

 ではどのようなパスワードにすれば良いのでしょうか。

 まずは文字数を増やしてみましょう。先ほどの「小文字のみ7文字」に6文字足して「小文字のみ13文字」にするだけで、総当たり攻撃の成功時間を0.3秒以内から2世紀(!)にまで延ばせます。

 ただしこの時間は、パスワードを破るために使用するコンピューターの性能によって上下します。最近は技術革新によって、悪意ある人たちがスーパーコンピューター並みの計算能力を保有していることも少なくありませんので、文字数を増やすだけでなく、二要素認証が使えるサービスならば積極的に設定しておくことも重要です。

 そして、忘れないように覚えやすい文章にしてみるのも良いアイデアです。たとえば、すぐに破られてしまいそうな「ThisIsMyPasswrd」は、パスワードを破るまでに6億年かかると言われています。その理由は大文字と小文字を組み合わせたうえ、意図的にスペルミス(oがない)を混入させているからです。

 同じく「iLoveAv0cado!」も破られにくい文章の1つです。こちらは単語内のアルファベットのo(オー)を0(ゼロ)に置き換えるというスペルミスを混ぜることで、破られにくくしています。

 これを参考にあなたも覚えやすく、破られにくいパスワードを考えてみてください。

この記事をシェアしよう

週刊アスキーの最新情報を購読しよう

この連載の記事