不正アクセスの話題も毎日のように耳にしますが、パスワードを設定する際にどこら辺に気をつけて決めればいいのか。
パスワードを破る手法は日々進化しており、絶対大丈夫というのはもちろんなくできる限りのことをするしかない状態。ポイントをいくつかまとめました。
パスワードの強度は、長さ、使用文字の種類、推測のしやすさ(一般的な単語で辞書にのっているかどうか)等により決まります。
1. パスワードは最低でも12桁以上に
英小文字だけで6桁以下にすると、なんと1時間以内に破られてしまう
情報処理推進機構の実験結果では、大文字・小文字の区別の無いパスワードを専用の解析ツールで試したところ
4桁で約3秒、6桁で約37分ほどで解析されてしまう事に。
8桁でも12時間ほどで破る事が可能だそう
8桁以下のパスワードを設定している人は、リスクがかなり高い状態で使用していることになるので、出来るだけ早く見直すことが大切。
じゃあ、どれぐらいが必要かというと。8桁でも12時間ほどですが、12桁になると25万年と圧倒的に解析が困難になります。
「 英字( 大文字、小文字 )+数字の組み合わせで12ケタ以上 」が最低ラインだと考えると良さそうです。
2. IDとパスワードに同じ文字列を使わない
ログインする際にIDとパスワードは両方入力する事が多いですが、IDに何文字か追加しただけのパスワードにしてしまうと破られやすくなるのは想像しやすいです。
IDとパスワードに使う文字は、できるだけばらばらの文字を設定するよう心がけます。
3. 数字と大文字、記号を要所に挿入しちりばめる
一般的な単語に数字や大文字、記号(%、-など)を挿入する事で辞書による解析を防ぐ効果が高くなります。
パスワード解析ツールは、「and」から「&」、「to」から「2」など、一般的な文字を記号に変更し自動的にチェックし試す機能を持っているので、ありがちな変換は避けて挿入する事。
だからといってあまりバラバラと挿入してしまうとパスワード自体がこんがらがって分からなくなる、といったことにもなりかねないので、パスワードの最後に記号をいくつかつけるだけでも効果はあります。
4. パスワードの使い回しをしない
万が一パスワードが漏洩、解析されてしまった場合、同じにしているとGoogleやTwitter、Lineなど有名どころのサービスを根こそぎやられてしまうことになります。
他のサービスで解析したパスワードでログインされてしまうというのは、良く使われる代表的な手口です。
なので根こそぎやられて後々多大な被害を被らないためにもサービスごとに別々のパスワードを考えるよう心がけたいです。