ページ

2015年4月12日

パスワード強度チェッカーに関する矛盾?!


livedoorニュースに興味深い記事を見つけました。

パスワード強度チェッカーに関する調査記事で、『「パスワード強度判定」の脆弱性 矛盾がありユーザーに悪影響も』という記事


パスワード強度って


パスワードの強度については、早稲田大学・情報化推進センターの記事パスワードはなぜ8文字以上にするのにわかりやい説明があります。

組み合わせに利用できる文字数とパスワードの文字数から基本的な強度を計算できるということですね。

具体的には、
「英字(大文字、小文字区別)+数字+記号=93文字」 ×8文字のパスワードを”Intel Core 2 Duo T7200 2.00GHz、メモリ:3GB”をつかってすべての組み合わせを試すための時間を算出すると、約1千年かかるそうです。

同じ組み合わせで文字数を6文字にすると、約54日ですべての組み合わせを試すことができるそうです。

ブルートフォース(力技)で総当たりさせて一番最後に見つかった場合にかかる時間ですから、現実的にはもう少し短くなるでしょうし性能の高いPCを使うと短くなりますね。


いろいろなところでパスワードを設定する際に「強度」が表示されたり、パスワードの強度をチェックしてくれるサイトがありますが、このような組み合わせ数などを用いて強度を算出していると考えられます。

そのパスワード強度チェッカーサイトを調査した記事が今日見つけた記事です。

強度判定の矛盾


それがこの記事:”「パスワード強度判定」の脆弱性 矛盾がありユーザーに悪影響も”です。

記事によるとテストしたサイトやパスワードマネージャーは、
アップル、Dropbox、Drupal、グーグル、eBay、マイクロソフト、PayPal、Skype、Tencent QQ、Twitter、ヤフー 、ロシアのメールプロバイダYandex Mailに加えて、パスワードマネージャーのLastPass、1Password、KeePassも調査を行ったそうです。

例えば、「password0」というパスワードは弱いが「password0+」にすると強いと判定されるサイトがあるそう。

「強い・弱い」の判定基準が明確でないところも混乱させているといってます。

ということは、「強度」で示すサイトよりは時間を表示してくれるサイトの方が指針としては良いのかもしれません。


時間で表示してくれるインテルのパスワードチェック


分析時間がどれくらいかかるかを表示してくれるサイトは幾つかありますが、インテルのサイトが比較的良いのではないかと思っています。


10文字ほどのパスワードをテストしてみると・・・


1年ですか・・・まだまだですね。


これくらい分析に時間がかかるようなら大丈夫じゃないでしょうか