8桁パスワードは今では欠陥パス
March 04, 2016
昨日、NHKのオンラインニュースを漁っていたらこんなものを見つけました。
押収したサーバーからIDなど約27万件(2016/03/03)
27万といえば人口で言えば日本の2%に当たる数です。
とはいっても一人で複数のIDを持っているという方は少なくないので、IDを盗まれた方の被害人数は2%未満でしょうが・・・
押収したサーバーからIDなど約27万件(2016/03/03)
27万といえば人口で言えば日本の2%に当たる数です。
とはいっても一人で複数のIDを持っているという方は少なくないので、IDを盗まれた方の被害人数は2%未満でしょうが・・・
パスワード変更
今回の事件ではサーバーを管理していた人間が捕まっただけで盗んだ人間が捕まったということではありませんし、日本でさまざまな悪事を行っている人間がこれだけという保証はありません。
さまざまなサイトで
「IDやパスワードを引き抜かれるという事件が起こっているので注意してください!」
などと注意喚起されているにもかかわらず、未だに被害に会う人がいるわけです。
と、えらそうなことを言っておいて私のパスワードが盗まれてはダサいのでとりあえずセキュリティレベルを上げるためにパスワードを変更してきました。
今までのパスワードは一応推奨以上の9桁にしてあります。
ちなみに、Yahoo!Japanにおいて使える文字は数字10種(0~9)、アルファベット26×2種(a~z,A~Z)、記号31種、空白1種の計94種です。
そのほかのサイト使える記号にバラつきがあったりしますが、基本的には数字と文字の62種は使えるのが普通です。
ここでちょっと疑問に思ったことがあります。
それは・・・
なぜ8文字以上が推奨されているのか?ということです。
検証!8文字の安全性
まず、Yahoo!における94文字の8乗というのはグーグル先生曰く
94^8=6.0956894e+15
このような回答になります。
e+15というのは言い換えれば×10^15乗という意味ですので、6.0956894に100兆をかけた数字になります。
つまり
94^8=609兆5689億4000万という意味です。
以前までに聞いていたパスワードをハッキングするツールの能力はせいぜい
100万回/秒
そのように言われてきました。
600兆/100万=6億
8桁ですべてのパスワードを試すだけで6億秒もかかるわけです。
1日が86400秒ですから6944日かかる計算です。
20年近くかけてようやくパスワードをハッキングしてかかった経費と手に入れた情報を天秤にかけても釣り合いませんよね。
そのために8桁以上安心だといわれてきました。
と、私もそれを疑うということはしませんでした。
昨日までは・・・
現在のハッキングツールは45億回/秒という性能です。
株式会社ディアイティ dit Co., Ltd.,セキュリティ調査レポート Vol.3パスワードの最大解読時間測定 【暗号強度別】http://www.dit.co.jp/service/report/security-threat_v3.htmlより
8桁で20年かかる・・・はずであったのがたったの14日でパスワードが破れるようになってしまっています。
しかも、注目すべき点は実験日時が2012/12ということ。
3年前でこのレベルです。
ツールを最適化しメモリをさらに増設、多くのPCを使って1つのIDに攻撃されたならば8桁94種など1日もあれば楽々突破できるのではないでしょうか?
必要な桁数
3年前の攻撃力ですら45億回/秒ですから、安全性を求めるのなら現在の攻撃力は500億回/秒 位に見積もっておいたほうがよいでしょう。500億回/秒に対して100年以上は耐えられるくらいの防御力を持っておく必要があると思います。
つまり
5.0e+11×86400×365×100=1.5768e+21
94種の場合ですと11桁以上(94^11=5.0629821e+21)
62種の場合ですと12桁以上(62^12=3.2262668e+21)
にしておいたほうが良いと思われます。
もちろん、同じパスワードを違うSNSにも使うなどという愚行をしないほうがよろしいでしょう。
というわけで、私もかなりセキュリティレベルの高いパスワードに変更してきました。
そのほかにもワンタイムパスなどセキュリティレベルを上げるような方法はありますので、ハッキングされないようにいろいろ試してみてはいかがでしょうか?
では、また~(*・ω・)ノシ