パスワード・ポリシーについて――“長さ”か“複雑さ”か - ITPro
オリジナルの記事(英文)はココ。
パスワードを何にするのかは、コンピュータに接する者でしたら頭の痛い(でも重要な)問題だったりします。
パスワード破りの方法として、機械的に一通りのパスワードを試していく総当り攻撃(ブルートフォース攻撃)というのがありまして、最近のPCの性能向上などから、かなり現実的な脅威だったりします。
(性能が上がるという事は、計算が早く終わるという事ですから……特にこのようなある意味単純作業では効果テキメンと言うか……。)
で、パスワード破りされにくいパスワードはどんなルール(ポリシー)に基づいたものの方が効果的か?、という話になる訳ですが、それを専用のツールを使って試してみましたというのが上記の記事。
結論は「長い(15文字以上)のアルファベット(小文字のみ)だけのパスワードの方が、少し短い(7~8文字程度)けど数字・記号も混ぜた複雑なパスワードより破られにくい」という事。
とは言え、まっちゃさんの処でも言及されていますが、人間の(短期的)記憶力ってのは「7±2桁(5~9桁)」と言われ(※1)、あまり意味の無い長い文字列を覚えるのは結構難しかったりします。
じゃあ……という事で、例えばこんな方法はどうでしょう?
覚えられる範囲(桁数)のフレーズを数種類用意しておく
予め用意したフレーズを数個組み合わせて、長い桁数の文字列にしてしまう
---
例えば貴方が7桁までは覚えられるという事で、7桁の文字列を数パターン用意しておきます……今回は4パターンとしておきましょうか。
(1)dwcdedc
(2)swocbce
(3)epncreo
(4)frepbfr
(注意!!:ここで挙げたのはテキトーに打った文字列ですが、そのまま実際のパスワードとして使わないように!!)
で、パスワードを設定する際に、どれとどれの組み合わせにするかを考えて、実際に組み合わせると。例えば今回は(1)と(3)にしようと決めたとすると
dwcdedcepncreo
という比較的長めのパスワード(今回は7+7で14文字)が出来上がります。
で同じパターンを続けない(例えば(1)と(1)という組み合わせはNG)というルールにすると、12通り(※2)のパスワードが出来上がるので、定期的に変更するというルールを組み合わせれば、総当り攻撃にもそれなりに強くなるパスワードになるのではないかと。
---
まぁ、こんな方法もあるよね、という参考情報という事で。
---
(※1)俗に言う「マジカルナンバー」というヤツで、米国の心理学者「ジョージ・A・ミラー」が発見。
(※2)重複を許さない順列(4P2)の値。Excelの計算式に直すと「=PERMUT(4,2)」で求められます。
オリジナルの記事(英文)はココ。
パスワードを何にするのかは、コンピュータに接する者でしたら頭の痛い(でも重要な)問題だったりします。
パスワード破りの方法として、機械的に一通りのパスワードを試していく総当り攻撃(ブルートフォース攻撃)というのがありまして、最近のPCの性能向上などから、かなり現実的な脅威だったりします。
(性能が上がるという事は、計算が早く終わるという事ですから……特にこのようなある意味単純作業では効果テキメンと言うか……。)
で、パスワード破りされにくいパスワードはどんなルール(ポリシー)に基づいたものの方が効果的か?、という話になる訳ですが、それを専用のツールを使って試してみましたというのが上記の記事。
結論は「長い(15文字以上)のアルファベット(小文字のみ)だけのパスワードの方が、少し短い(7~8文字程度)けど数字・記号も混ぜた複雑なパスワードより破られにくい」という事。
とは言え、まっちゃさんの処でも言及されていますが、人間の(短期的)記憶力ってのは「7±2桁(5~9桁)」と言われ(※1)、あまり意味の無い長い文字列を覚えるのは結構難しかったりします。
じゃあ……という事で、例えばこんな方法はどうでしょう?
---
例えば貴方が7桁までは覚えられるという事で、7桁の文字列を数パターン用意しておきます……今回は4パターンとしておきましょうか。
(1)dwcdedc
(2)swocbce
(3)epncreo
(4)frepbfr
(注意!!:ここで挙げたのはテキトーに打った文字列ですが、そのまま実際のパスワードとして使わないように!!)
で、パスワードを設定する際に、どれとどれの組み合わせにするかを考えて、実際に組み合わせると。例えば今回は(1)と(3)にしようと決めたとすると
dwcdedcepncreo
という比較的長めのパスワード(今回は7+7で14文字)が出来上がります。
で同じパターンを続けない(例えば(1)と(1)という組み合わせはNG)というルールにすると、12通り(※2)のパスワードが出来上がるので、定期的に変更するというルールを組み合わせれば、総当り攻撃にもそれなりに強くなるパスワードになるのではないかと。
---
まぁ、こんな方法もあるよね、という参考情報という事で。
---
(※1)俗に言う「マジカルナンバー」というヤツで、米国の心理学者「ジョージ・A・ミラー」が発見。
(※2)重複を許さない順列(4P2)の値。Excelの計算式に直すと「=PERMUT(4,2)」で求められます。