パソコンを使ってると、パスワードを入力する場面がたくさんある。
ウェブ上のメールチェックで、ネットショッピングで、ログインのたび要求されるパスワード。


ところでこのパスワード、なぜか“8文字以上”ってことが多い。
これまで気にせず受け入れてたけど、「6」でも「10」でもない、「8」の根拠って一体何なんだろう。末広がりとかじゃない、何らかの理由がありそうだ。

そこで、情報セキュリティに取り組んでいる、情報処理推進機構に話を伺った。

「パスワードで入力できる種類は、アルファベット小文字と英数字、それに特殊記号を合わせても、40個ほどしかありません。そのとき、4文字や6文字だけですと、何者かの手によって、コンピューターでパスワードを解析される危険があるんです」
例えば4文字だと、考えられるパスワードの種類は40の4乗で256万通り。
6文字なら約41億通り。一見、途方もない数のようにも思えるけど、コンピューターで比較的簡単に解析されちゃうらしい。相手はパスワードを解析するソフトを駆使して、見破ってくるからだ。
でもパスワードが8文字なら、全部で約6兆6千億通り。こんな桃鉄の世界でしか経験したことがない桁数だと、さすがに解析するには相当な時間がかかる。つまり、適切なパスワード設定をすれば破られない文字数が、8文字以上だったのだ。


でも、だったら10文字以上にした方がもっと安全なはずじゃ?
「もちろん長ければ長いほうがいいですが、長いと今度は覚えにくくなってしまいます。忘れてしまったら元も子もありません。解析されにくさと覚えやすさのバランスをとった結果が、8文字なんです」

ただし今後、コンピューターの処理速度が上がったり、解析ソフトが進化したら、パスワードの文字数は増える可能性もあるという。そうなったら、僕らの頭の保存容量を増やすしかなさそうだ。

ちなみに、破られにくい適切なパスワードって何だろう?
「例えば“abcdefgh”という文字をパスワードとしたとき、“abcd@@efgh”など、間に特殊文字を入れるだけで、解析される確率は数十分の1になります」

よく言われてるように、生年月日や名前、IDをそのままパスワードにするのは危険度MAX。あとメジャーな英単語も見破られやすく、その筆頭は“password”っていうパスワード。
真っ先に解析ソフトで見破られちゃう。

さらに、名前やログイン名などのスペルを逆さにしてパスワードにしてる人も多いようで、これも案外危険なんだとか(例:ichikawa→awakihci)。複雑に見えるけど、解析ソフトはそのくらい想定済みだ。
「特殊文字を間にはさむ」(特殊文字を入れられなければ英数字)っていう、覚えやすくて解析されにくい方法を、手軽なパスワード設定術として覚えときましょう。

今も悪者たちによって、自動的に解析されてるパスワード。
見破られそうなパスワードを設定してた人は、今すぐログインして変えてください。

(イチカワ)