本記事について
本記事は、最近のパスワードに関する内容について考察、調査した内容をまとめました。
最近のパスワードに関する情報や、どのようなパスワードが推奨されているかについて記載しましたので
本記事を見て未来を見据えたパスワードを各自設定していただければと思います。
目次
- パスワードの定期変更って必要?
- 解読時間について
- 危ないパスワード2019-2022年(NordPass調べworld版)
- パスワード作成はどうすればよい?
- おわりに
パスワードの定期変更って必要?
突然だが、パスワードの定期変更を行っている方々はかなり多い印象を筆者は持っている。
その定期変更をしている方々の中に、パスワードの定期変更は本当に必要なのだろうかと疑問を持つ人も多いのではないだろうか。
実は『定期的なパスワード変更は不要』という内容は、2017年に米国国立標準技術研究所(NIST)から発信されており、また日本の内閣サイバーセキュリティセンター(NISC)の「インターネットの安全・安心ハンドブック」内にも記載されている。
参考:インターネットの安全・安心ハンドブック
定期変更が不要になったのは何故か
以前は、パスワードの定期変更をする事で解読が終わらないタイミングで仕切り直し(妨害する)出来るという狙いがあったかと思う。それならば定期変更は必要なのではないかと思うが、先ほど取り上げた「インターネットの安全・安心ハンドブック」の内容を読むと定期変更をする事だけに意識がいき、パスワードの基準を定めない事による、パスワードの単純化、ワンパターン化、サービス間で使い回しする事が問題という風に書かれているので、それが理由だろう
現在の推奨パスワードについて
ところで現在の推奨パスワードについてご存知だろうか
[インターネットの安全・安心ハンドブック]にある通り、【英大文字小文字+数字+記号混じりで少なくとも 10桁以上】が今の推奨パスワードである。
さて、10桁以上と書いてあるのだが読者の中に8桁でパスワードを登録している人はいるだろうか。
現在、Googleアカウントのパスワード登録も、Twitterも、なんならQiitaも8文字が最低文字数となっている。
普段使っているサービスに異変が起こらないと気づきにくいとは思うが最低8文字以上は2011年にIPAが公表していた情報なので今となっては古い内容となっている
参考:IPA
解読時間について
8桁だと危険なのか?については、以下のパスワードの解読時間を見ていただきたい
資料によると、大文字、小文字、数字、記号を含む8文字のパスワードは2022年の段階で39分で解読できるようだ。
ちなみに、解読速度はグラフィックボード(VGA)の性能向上と関係しているらしい。
また、資料の掲載時点ではGeForce RTX 3090というVGAが最新の例で記載されていたが現在はGeForce RTX 4090があり性能テストで約1.7倍高速だそうだ。
※これはVGA同士の性能比較でありパスワード解読速度にどの位影響するかは不明
参考:HIVESYSTEMSによる調査
危ないパスワード2019-2021年(NordPass調べworld版)
パスワードの推奨レベルが上がっているのなら、最近の危ないパスワードランキングも変わっていて欲しい所だ。
以下が2019年から2021年にかけての危険なパスワードについてのランキング(世界)となる
| RANK | 2019年 | 2020年 | 2021年 |
|---|---|---|---|
| 1 | 12345 | 123456 | 123456 |
| 2 | 123456 | 123456789 | 123456789 |
| 3 | 123456789 | picture1 | 12345 |
| 4 | test1 | password | qwerty |
| 5 | password | 12345678 | password |
| 6 | 12345678 | 111111 | 12345678 |
| 7 | zinch | 123123 | 111111 |
| 8 | g_czechout | 12345 | 123123 |
| 9 | asdf | 1234567890 | 1234567890 |
| 10 | qwerty | senha | 1234567 |
危ないパスワードについての感想
最低文字数が4桁だったり文字種類が1種類だったり、キーボード配列の通り右から左へ入力していくパターンが未だに溢れていた。またtestやpasswordと言った昔から使われている単語系も見えていて今日でも進歩せず世界中で使用されている状況という事が分かる。
また、この中で picture1 や g_czechout の様な見慣れないパスワードがランキング上位に入っているのに疑問を持った為、文字列を調査したが、それに関する有益な情報は無く、おそらく調査対象の偏りであると筆者は考えた。
いずれにせよ、パスワードポリシーがなかったり、要件がゆるい場合は覚えやすい簡単なパスワードを世界中の方が設定してしまうという事を感じた
パスワード作成はどうすればよい?
8桁パスワードの危険性や危ないパスワードの傾向については分かったけど、長いパスワードは考えるのも覚えるのも大変。。。と悩まれる方もいると思うので今回は一例としてパスフレーズを紹介する
パスフレーズというのは、10文字以上の単語でかつ空白文字も入力可能なパスワードの事である。
作り方についての例は、「touhu fuyu union start」の様に好きな単語を並べて記号や数字、大文字小文字等でアレンジし複雑性をあげる事で作成完了となる。
文字数はこれだけでも22文字となっているし、4つの単語なので覚えられる範囲ではないだろうか。
また、空白文字が対応していない場合は以下の様に何かほかの文字に置き換えてしまうのも1つの案である。
※空白文字を1に置き換えた場合「touhu1fuyu1union1start」
作成方法については、他にもサイコロを利用した方法などあるので気になる方は、各自調べて欲しい
おわりに
いかがでしたでしょうか?
今もパスワードを使用されている方は、パスフレーズに変更していただき、
パスフレーズを使用している方もVGAの進化についてアンテナを張り時代の変化に対応した安全なパスワード設定していただければと思います