今年でかれこれ20年のインターネット生活をしていますが、昨日さらにネット歴の長いダンナとパスワードの設定方法についてバトルになった。
セキュリティの危機意識が強すぎると、無意味でランダムな英数小文字大文字記号を64文字くらい設定したくなりますが、何か手入力しなくてはならない場面になったとき、例えばPCでコピペやパスワード管理ソフトでラクラク入力していたのに、同じパスワードをスマホに入力しなくてはいけなくなったとき。
しかも、パスワード欄が伏字になってたりしたら、もう何かの罰ゲームのよう。
ファミコン時代のドラクエで、復活の呪文を間違えたとき以来の悲しみと絶望に包まれてしまう。
管理がラクで、セキュリティも十分な強度があるパスワードとはどういうものなのか調べてみた。
まず、基本。
パスワードのあり方を、なんと総務省お墨付きのサイトから引用。
総務省 安心してインターネットを使うために 国民のための情報セキュリティサイト
IDとパスワード>設定と管理のあり方
安全なパスワードとは、他人に推測されにくく、ツールなどで割り出しにくいものを言います。
(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組合せにしないこと
だから、その適切な長さがわからないんだって。
次にditという情報セキュリティ会社のサイトから引用。
第2回:そのパスワードで大丈夫? ~ GPGPUによる高速パスワード解析
暗号化ファイルと無線LANパスワード解析スピード
ZIPファイルパスワード(WinZIP2.0互換形式)検証結果
まずは、前回も紹介したZIPファイルのパスワード解析です。暗号化形式は、一般的に利用されるWinZIP2.0互換形式です。ファイルをやり取りする際に、一番利用頻度が高いのではないでしょうか。解析スピードは、CPUでは毎秒約1億回、GPGPUでは毎秒約40億回でした。8桁英大小文字+数字+記号すべてを利用したパスワードも20日ほどで破られてしまうスピードです。
利用文字種\桁数 7桁 8桁 9桁 10桁 英子文字のみ(26文字種) 2秒 52秒 22分 10時間 英大小文字+数字(62文字種) 15分 15時間 39日 7年 英大小文字+数字+記号(96文字種) 5時間 20日 5年 527年
英大文字小文字と数字と記号込みなら、10桁で527年持つ。
記号を使えないサイトもあるけど、それでも7年は大丈夫ということだ。
じゃあ、記号が使えなくても、ランダムで12桁あれば十分なんじゃね?って結論に至った。
(でもなるべく記号も使う)
あとはLの小文字とIの大文字が見分けられなかったり、数字の1かIの大文字なのか。数字の0かOの大文字なのか。
とにかく見分けにくい文字は使わない方がラク。
やっておくとさらに安心なのは、二段階認証ができるところはそれを使うのがベスト。
ソーシャルログインは使わない(Facebookのアカウントで全部ログインできるとか)くらいかな~。
定期的にパスワードを変更するべきかどうかについては、年に1回くらいはやっておくといいと思う。
久しぶりに見にいったら、そのサイト自体が別の会社に売られてたとか、閉鎖されて使えなくなってたなんてこともある。
たぶん、顧客情報も売られるんだよな、こういう場合。
使わなくなったサービスからは、きれいに退会だ。
定期的にログインしないと登録抹消になるゲームサイトもあった。
2年遊ばないと、ゲームデータ消します、みたいな。
なんでも、定期点検は必要だ。
最終更新日: