安全そうに見えるパスワードでも実は安全ではない理由

安全そうに見えるパスワードでも実は安全ではない理由

ユーザーが工夫をこらしてパスワードを作っても、たいていの場合、ハッカーから身を守ることはできません。たいていのサイトで求められる複雑なパスワードの要件も、たいして役に立たないことが明らかになっています。

複雑さの要件を満たしていても、ハッカーはパスワードを類推できる

セキュリティコンサルタントのRick Redman氏の下の動画での説明によれば、ほとんどのウェブサイトがユーザーのパスワードに課しているルールは、時代遅れで頼りないものだそうです。

みなさんがアカウントを作成するウェブサイトでは、だいたい次のような要件が定められているはずです。

  • 8文字以上であること
  • アルファベットの大文字、小文字、数字を使うこと
  • 「%」「&」「*」「!」などの特殊文字を使うこと

この要件を満たせば、パスワードの安全性が高くなるような気がします。たしかに「123456」のようなパスワードよりは安全なのですが、最先端を行くパスワードクラッカーたちにとっては、簡単に突破できる些細なハードルにすぎません。Redman氏が指摘しているように、サイトでNTLM暗号化が使用されている場合(Windowsではこれが使われています)、2000ドル程度で購入できる安価なマシンがあれば、8文字のパスワードで考えられるすべての組み合わせを、どれだけ大文字や特殊文字を使ったとしても、わずか3.7日でクラッキングできるのです。パスワードの保存にMD5暗号化を使用しているサイトでも、8日ほどあれば、8文字のパスワードで考えられるすべての組み合わせを試すことができるでしょう。LinkedInが大規模な情報漏れを起こした際に使っていたのはSHA1暗号化ですが、これも24日もあれば、すべての組み合わせをクラッキングできるはずです。パスワードクラッカーがもっと良いマシンを使える場合は、その所要時間は大幅に短くなるでしょう。


あわせて読みたい

ライフハッカー[日本版]の記事をもっと見る

トピックス

今日の主要ニュース 国内の主要ニュース 海外の主要ニュース 芸能の主要ニュース スポーツの主要ニュース トレンドの主要ニュース おもしろの主要ニュース コラムの主要ニュース 特集・インタビューの主要ニュース

経済ニュースアクセスランキング

経済ランキングをもっと見る

コメントランキング

コメントランキングをもっと見る
2016年7月23日の経済記事

キーワード一覧

このカテゴリーについて

経済、株式、仕事、自動車、金融、消費などビジネスでも役に立つ最新経済情報をお届け中。

通知(Web Push)について

Web Pushは、エキサイトニュースを開いていない状態でも、事件事故などの速報ニュースや読まれている芸能トピックなど、関心の高い話題をお届けする機能です。 登録方法や通知を解除する方法はこちら。