安全なパスワードの長さは?その質問自体が間違っているかも

Ed Bott (Special to ZDNET.com) 翻訳校正: 石橋啓一郎

2023-11-01 06:30

 パスワードが長い方が安全であるのは、常識だと言っていいだろう。パスワードが長くなるほど、あり得る組み合わせが増える。つまり、自動化システムであらゆる組み合わせを試していくことでパスワードを破る「総当たり攻撃」にかかる時間も、それだけ長くなるわけだ。

ノートPC
提供:Valeriia Mitriakova/Getty Images

 セキュリティの専門家は、もはや8文字のパスワードでは短すぎ、ゲーミングPCに使われるGPUのような、簡単に入るハードウェアでも簡単に破れると考えている。例えばHive Systemsの計算では、NVIDIAの「GeForce RTX 4090」を使用した場合、8文字のアルファベット(大文字と小文字)、数字、記号のすべての組み合わせを調べたとしても1時間もかからないという。これは2年前に主流だったグラフィックスカードの2倍以上の速度であり、ムーアの法則がいまだに通用することを示す例の1つだ。

 8文字では短かすぎるとすれば、どれくらいあればいいだろう。何か決まった数字はあるのだろうか。筆者は、公開されているさまざまな資料の推奨内容を調べてみたが、専門家の意見が一致している数字はない。ただし、大まかなコンセンサスはある。少なくとも12文字は必要で、長ければ長いほどいいというものだ。しかし一番いいのは、ランダムに選ばれた4つ以上の単語からなるパスフレーズかもしれない。

 筆者が調査した限り、あらゆる専門家が、数字や文字、記号の使用を義務付けるといった複雑さの要件を増やすよりも、パスワードの長さの方がはるかに重要だと一様に述べている。しかしそれ以上に重要なのは、パスワードが本当にランダムなものであることだ。それらの条件が決まれば、パスワードを推測する作業の難易度を測る「エントロピー」と呼ばれる指標を得ることができる。

 合理的な推測ができる攻撃者であれば、ペットの犬の名前や、生まれ年から作った低エントロピーのパスワードなどすぐに破ることができる。しかし、パスワードマネージャーが生成した本当にランダムなパスワードであれば、破るのはずっと難しくなる。

 では、どれだけの長さがあればいいだろうか。

 Daniel Brecht氏は、InfoSec Instituteのサイトに掲載されているパスワードのセキュリティに必要な複雑さと長さについて考察した記事で、12文字が出発点だと述べている。

 短いパスワードは比較的破られやすいため、パスワードのセキュリティを高め、予測しにくくするには、長いパスワードを作成した方がいい。では望ましい長さや必要な長さはどの程度だろうか。ジョージア工科大学(GTRI)の研究者であるJoshua Davis氏は、同大学の2010年の研究で、12文字のランダムなパスワードは、暗号解読ソフトウェアやクラッキングソフトウェアに打ち勝てる最小限の長さ要件を満たせると述べている。またGTRIの上級研究員であるRichard Boyd氏は、「現在では8文字のパスワードでは不十分であり、使用する文字をアルファベットのみに絞った場合、数分で解読されてしまう」と述べている。いずれにせよ、安全を期すなら、12文字以上のパスワードを採用すべきだろう。

 いくつかのよく使われているパスワードマネージャーの開発者も、基本的にその意見に同意している。例えばBitwardenのブログでは、文末に感嘆符までつけて、確信を持って「パスワードは14文字から16文字、あるいはそれ以上にすること!」と述べている。

 この数字も適当に書かれたものではない。Bitwardenのブログに書かれたアドバイスは、米国立標準技術研究所(NIST)が公表したデジタルIDに関するガイドライン「NIST SP 800-63B」に基づくものだ。このガイドラインでは、「ユーザーに対しては、無理のない範囲で好きなだけパスワードを長くするように推奨すべきだ。ハッシュ化されたパスワードのサイズは元のパスワードの長さに依存しないため、ユーザーが望むのであれば、長いパスワードの利用を禁じる理由はない」と述べている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]