インターネット上では、ネットショッピング、会員制サービス、ネットバンキング、WebメールなどのID・パスワードを登録して利用するサービスが数多く存在します。早稲田大学でもWaseda-net ポータルを利用する際にID・パスワードを用いてログインする必要があります。
このようなインターネット上の各サービスでは、ID・パスワードによってユーザーを識別しているためID・パスワードが他人にバレてしまうと、
などの被害に遭う可能性があります。
そこで各インターネットサービスでID・パスワードを登録する際には、必ずと言っていいほど「英数混合で8文字以上」のパスワードを設定するよう推奨し、他社にパスワードが推測されにくよう呼びかけています。
しかし、どうしてもパスワードは覚えやすいものを設定したくなるものです。そこで今回は、「なぜパスワードは8文字以上のものを設定すべきなのか」について考えてみたいと思います。
インターネット上において、悪意あるハッカー達は様々なインターネットサービスにおけるID・パスワードを盗んだり解析したりしてユーザーに成り代わろうと企みます。 パスワードを解析する方法としては以下の3つがポピュラーな方法です。
ここで、実際に悪意あるハッカーがパスワード解析を行った場合にどれくらいの時間がかかるかを以下に示します。
表. 使用できる文字数と入力桁数によるパスワードの最大解読時間
使用する文字の種類 | 使用 できる 文字数 |
最大解読時間 | |||
---|---|---|---|---|---|
入力桁数 | |||||
4桁 | 6桁 | 8桁 | 10桁 | ||
英字(大文字、小文字区別しない) | 26 | 約3秒 | 約37分 | 約17日 | 約32年 |
英字(大文字、小文字区別)+数字 | 62 | 約2分 | 約5日 | 約50年 | 約20万年 |
英字(大文字、小文字区別)+数字+記号 | 93 | 約9分 | 約54日 | 約1千年 | 約1千万年 |
※すべての組み合わせを試すために必要な時間を計算。
記号は31文字使用できるものとした。
使用パソコンOS:Windows Vista Business 32bit版、
プロセッサ:Intel Core 2 Duo T7200 2.00GHz、メモリ:3GB
この結果を見ると、4桁や6桁のパスワードは簡単に解析できてしまうため非常に危険であることがわかります。逆に1千年以上かかるものについては現実的に解読出来ないと言えたとしても10桁の文字列であったり、英字と数字に加え記号も使う必要があり覚えるのが大変になってしまいます。
では妥当な強度のパスワードは?となると 英字+数字で8桁のパスワードを作成した場合と言えるのではないでしょうか。解読には最大で約50年(すべての組み合わせを試算した場合)かかるため、仮に解読されたとしても 50年後にはそのサービスは使用していないか既にパスワードを変えているでしょうから問題ないと考えられます。
以上のことから、「英数混合8文字以上」のパスワードを作成する必要性と妥当性を理解して頂けたと思います。この表を参考に、強度の違いを確認して、破られにくいパスワードを作成するようにしてください。
(1)パスワードを作成する際の注意点
各インターネットサービスによって、使える文字の種類や桁数が違います(記号が使えなかったり、6文字制限だったり)。先ほどの表を参考にして原則8桁以上のパスワードを設定するよう心掛けましょう。
(2)パスワードの保管に関する注意点
長く複雑なパスワードを作成すると覚えるのが大変になるかもしれません。完全に記憶するのが一番ですが、やむを得ず紙やテキストファイルにメモすることがあるかもしれません。その際は、IDとパスワードを別々に保管することをおすすめします。仮にパスワードが知られても、どのIDに対するものかがわからなければ被害を避けることができます。
(3)定期的に変更する
強いパスワードを作成したとしても、長期間使っていればいるほど漏えいする可能性が高くなります。よって、定期的に(3か月おきなど)パスワードを変更することをおすすめします。
(4)インターネットサービスのログイン履歴を確認する
ネットバンキングなど、インターネットサービスによっては自分の過去のログイン履歴を参照できます。定期的にログイン履歴を確認し、自分がログインした覚えのない記録があるなど、不正利用の可能性がある形跡を見つけたら直ちにサイト管理者に連絡し、アカウントの利用停止手続きをしましょう。
(5)マンガ喫茶やネットカフェなどではID・パスワードを入力しない
マンガ喫茶やネットカフェなど不特定多数が利用するパソコンでは、スパイウェアが仕掛けられている可能性があります。その場合、どんなに複雑なパスワードを設定していても簡単にパスワードを盗まれてしまいます。自分が管理しているパソコン以外で信用できないパソコンでは、IDとパスワードを必要とするインターネットサービスを利用するのは避けましょう。