パスワードは複雑さよりも長さが大切?

インターネット

ITmediaニュースの記事を読んでいると、「パスワードは複雑さより長さが大切 FBIが指南」というタイトルが目に留まりました。根拠としているのは米国立標準技術研究所がまとめた最新版のガイドラインとのことです。

従来のパスワードに関する常識はアルファベットの大文字と小文字、数字や記号を組み合わせた意味不明な文字の羅列が良いとされてきました。不正にログインを試みる犯人は思いつきやすい単語や同じ数字の羅列等をパスワードに設定してログインを試みるためです。

しかし今回の提言によれば、例えば「VoicesProtected2020WeAre」のようなパスフレーズが良いとされています。(もちろん、このパスフレーズをそのまま使いまわしてはいけません)

大文字と小文字の使用や記号の使用は必須とせず、長さは15文字以上を推奨しています。長ければ長いほど、破るために要する時間や労力が増えるためです。7文字のパスワードであればハッキング用のソフトウェアで0.29ミリ秒で破られるのに対して、12文字のパスワードであれば200年、24文字であれば1800万年かかるのだそうです。

もちろん、15文字以上の自分にとって覚えやすいパスフレーズを設定できたとして、同じパスフレーズを複数のサイトやサービスで使いまわすのは ご法度です。どこかで漏洩があった際に一蓮托生でほかのサービスまで被害を受けてしまうリスクが高まります。

さらには誰でも知っているような名言、有名な歌詞なども避けるように記事では紹介していました。必要なのは自分で思い立った単語の羅列で15文字以上ということになります。ただ、IDやパスワードを登録しているサイトの数は十数個から数十個という人が多いのではないでしょうか。これらのサイトでみんなバラバラのパスフレーズを設定し、かつ何処にもメモを取らずに覚えておくことはまず不可能です。ブラウザに標準装備されているパスワード管理の仕組みや、1Passwordといったパスワード管理ソリューションを使わざるを得ないと思います。

コメント