よいパスワードの典拠をもとめて

0 Comments
Tweet
  • JPCERT
    • 12文字以上
    • 大変なら無理に記号までいれなくてもよいです。そのかわり長くしましょう
    • https://www.jpcert.or.jp/pr/stop-password.html
  • NISC
    • 英語大文字小文字、数字、記号混在で10文字以上

よいパスワードの作り方についての資料探索の旅

使いまわさないとか、多要素認証が使えるなら使うべきというのは当然なのですが、とりあえずパスワード認証しかしていない(できない)場合に、パスワード強度は最低どれくらいにするべきなのでしょうか?その推奨強度を具体的に推奨する資料を探しました。ようするに水戸黄門の印籠がほしいということですね:-)

ざざっとみたところ、JPCERTとNISCの資料が具体性が高いようです。

  • JPCERTのSTOP!パスワード使いまわし!キャンペーン2019
    • https://www.jpcert.or.jp/pr/stop-password.html
    • 「TIPS1: 安全なパスワードを設定しよう」を簡単にまとめると、こうなりますね
      • 安全なパスワードの条件
        • 12文字以上
        • いろいろ組み合わせると強くなるので推奨
        • 生年月日や 1qaz のようなありがちなものは使わない
        • 使いまわさない
      • 英小文字+数字だけの12文字でも十分強度と考えられる
      • 意味の通らない文字列を覚えるよりも、記憶しやすいものを並べて長いパスワードを作る方が強くなるので推奨
        • 例: 英単語 + ローマ字 + 絵単語 + …(長くなるように続けていく)
  • 総務省
  • IPA
  • NISC

少し計算してみましょう

  • IPAの2008年9月分の状況という資料の表1-1は「パスワードの最大解読時間」つまり、どれくらいで破られそうか?を計算した表です。
  • いや、今や当時よりさらにPCのコストパフォーマンスがあがり、かつ並列処理できるので、二桁くらい余裕が無いとダメでしょうか?
  • 速度が2008年度当時の1,000倍(つまり解読時間を1,000分の1)と仮定すると、
    • 8桁では1年で解けてしまいます
    • 10桁は、英数字まぜこぜで200年、記号まで入れれば1万年くらいかかります。NISCのハンドブックは万年くらいかかる強度以上を推奨しているということですね
    • 12桁の英数字まぜこぜ(記号なし)は、77万年なので、十分推奨できますね