情報化推進レター

早稲田大学の学生・教職員の皆様に情報化推進計画のお知らせを配信させていただきます 。

巻末コラム

パスワードはなぜ8文字以上にするのか

パスワードの重要性

インターネット上では、ネットショッピング、会員制サービス、ネットバンキング、WebメールなどのID・パスワードを登録して利用するサービスが数多く存在します。早稲田大学でもWaseda-net ポータルを利用する際にID・パスワードを用いてログインする必要があります。

このようなインターネット上の各サービスでは、ID・パスワードによってユーザーを識別しているためID・パスワードが他人にバレてしまうと、

  • ネットショッピングで勝手に買い物をされ身に覚えのない請求をされる
  • ネットバンキングで勝手に振り込みをされたり送金されたりする
  • Webメールの受信箱を勝手に見られプライベートな情報を読まれてしまう

などの被害に遭う可能性があります。

そこで各インターネットサービスでID・パスワードを登録する際には、必ずと言っていいほど「英数混合で8文字以上」のパスワードを設定するよう推奨し、他社にパスワードが推測されにくよう呼びかけています。

しかし、どうしてもパスワードは覚えやすいものを設定したくなるものです。そこで今回は、「なぜパスワードは8文字以上のものを設定すべきなのか」について考えてみたいと思います。

強いパスワードとは?

インターネット上において、悪意あるハッカー達は様々なインターネットサービスにおけるID・パスワードを盗んだり解析したりしてユーザーに成り代わろうと企みます。 パスワードを解析する方法としては以下の3つがポピュラーな方法です。

  • ブルートフォースアタック
    特別なソフトウェアを使って単純な文字の組み合わせを総当たりで試す方法
    例)アルファベットのみを使った4文字のパスワードに総当たりする場合
    aaaa、aaab、aaac ・・・aaaz、aaba、aabb、aabc・・・aabz・・・zzzz のすべてを試す
  • 辞書攻撃
    特別なソフトウェアを使って、英字辞典に載っている単語、人名・地名などの固有名詞、パスワードによく使われる単語・表現を組み合わせて試す方法
  • 盗聴
    特別なソフトウェアを使って、インターネットのネットワーク上を流れるデータを盗み見る
    職場などで紙に書いてあるパスワードを盗み見たり、タイピングしているところを盗み見る

ここで、実際に悪意あるハッカーがパスワード解析を行った場合にどれくらいの時間がかかるかを以下に示します。


表. 使用できる文字数と入力桁数によるパスワードの最大解読時間

使用する文字の種類 使用
できる
文字数
最大解読時間
入力桁数
4桁 6桁 8桁 10桁
英字(大文字、小文字区別しない) 26 約3秒 約37分 約17日 約32年
英字(大文字、小文字区別)+数字 62 約2分 約5日 約50年 約20万年
英字(大文字、小文字区別)+数字+記号 93 約9分 約54日 約1千年 約1千万年

※すべての組み合わせを試すために必要な時間を計算。
  記号は31文字使用できるものとした。
  使用パソコンOS:Windows Vista Business 32bit版、
  プロセッサ:Intel Core 2 Duo T7200 2.00GHz、メモリ:3GB

情報処理推進機構(IPA)「今一度、パスワードを点検しましょう!」より引用
http://www.ipa.go.jp/security/txt/2008/10outline.html

この結果を見ると、4桁や6桁のパスワードは簡単に解析できてしまうため非常に危険であることがわかります。逆に1千年以上かかるものについては現実的に解読出来ないと言えたとしても10桁の文字列であったり、英字と数字に加え記号も使う必要があり覚えるのが大変になってしまいます。

では妥当な強度のパスワードは?となると 英字+数字で8桁のパスワードを作成した場合と言えるのではないでしょうか。解読には最大で約50年(すべての組み合わせを試算した場合)かかるため、仮に解読されたとしても 50年後にはそのサービスは使用していないか既にパスワードを変えているでしょうから問題ないと考えられます。

以上のことから、「英数混合8文字以上」のパスワードを作成する必要性と妥当性を理解して頂けたと思います。この表を参考に、強度の違いを確認して、破られにくいパスワードを作成するようにしてください。

パスワード管理における注意点

(1)パスワードを作成する際の注意点

各インターネットサービスによって、使える文字の種類や桁数が違います(記号が使えなかったり、6文字制限だったり)。先ほどの表を参考にして原則8桁以上のパスワードを設定するよう心掛けましょう。

(2)パスワードの保管に関する注意点

長く複雑なパスワードを作成すると覚えるのが大変になるかもしれません。完全に記憶するのが一番ですが、やむを得ず紙やテキストファイルにメモすることがあるかもしれません。その際は、IDとパスワードを別々に保管することをおすすめします。仮にパスワードが知られても、どのIDに対するものかがわからなければ被害を避けることができます。

(3)定期的に変更する

強いパスワードを作成したとしても、長期間使っていればいるほど漏えいする可能性が高くなります。よって、定期的に(3か月おきなど)パスワードを変更することをおすすめします。

(4)インターネットサービスのログイン履歴を確認する

ネットバンキングなど、インターネットサービスによっては自分の過去のログイン履歴を参照できます。定期的にログイン履歴を確認し、自分がログインした覚えのない記録があるなど、不正利用の可能性がある形跡を見つけたら直ちにサイト管理者に連絡し、アカウントの利用停止手続きをしましょう。

(5)マンガ喫茶やネットカフェなどではID・パスワードを入力しない

マンガ喫茶やネットカフェなど不特定多数が利用するパソコンでは、スパイウェアが仕掛けられている可能性があります。その場合、どんなに複雑なパスワードを設定していても簡単にパスワードを盗まれてしまいます。自分が管理しているパソコン以外で信用できないパソコンでは、IDとパスワードを必要とするインターネットサービスを利用するのは避けましょう。

早稲田大学 メディアネットワークセンター あなたと情報セキュリティ
http://www.waseda.jp/mnc/info-sec/index.html
早稲田大学ITセンター セキュリティ情報
http://www.waseda.jp/itc/security/
Copyright(C)Media Network Center, Waseda University. All rights reserved.