コンサル課のKです。
年末年始も近づき、家の掃除・・・ではなくパソコン内の整理を最近はじめました。
色んなところにメモ書きしていたパスワード関連も一括で管理しようとまとめ直していたところです。

みなさんは会員登録を必要とするWEBサイトやサービスに登録する時に求められるパスワード。
どのように決めていますか？
自分が覚えやすいパスワードだったり、パスワードを使いまわししてたりしませんか？

最近よく「大文字、小文字」を含めてください。や「記号」を含めてください。など、セキュリティ強化のための決まりを設けているところもよくあります。
Yahoo!などではアカウント発行時にパスワードのセキュリティレベル：小、中、強など入力したパスワードに対して安全性の評価を行ってくれるサービスもありますが、それって本当に安全ですか？

パスワードを決める時に求められる文字パターンとして、大文字（26種類）、小文字（26種類）、数字（10種類）、記号（33種類）の95種類の文字で

3文字パスワードを作成した場合
85万7375通り

4文字パスワードを作成した場合
8145万625通り

5文字パスワードを作成した場合
77億3780万9375通り

ブルートフォース攻撃などの総当たり攻撃の場合、1秒間に300億個以上のパスワードが試されると考えると5文字で作成したパスワードなんて大文字、小文字、数字に記号の全てを組み合わせても一瞬で解かれてしまうことがわかります。

また、この「大文字、小文字」を使ってください。や「記号」を使ってください。と必須にすることで、攻撃者からは上記のパターン数よりそれらを除外した数だけ少ない数で攻撃が可能になるので、強化のための制限が逆効果となってしまう場合もあります。

パスワードを決める時にどういったパスワードがよいのか？
先ほどの続きを見ていくと

6文字パスワードを作成した場合
7350億9189万625通り

7文字パスワードを作成した場合
69兆8337億2960万9375通り（39分で解読）

8文字パスワードを作成した場合
6634兆2043億1289万620通り（約2日半で解読）

ここにきてようやく解読にかかる時間が1日以上となりました。
さらに
9文字パスワードを作成した場合
63京0249兆4097億2460万9000通り（約243日で解読）

10文字パスワードを作成した場合
5987京3693兆9238億3790万通り（約63年で解読）

のようにパスワードを決めるとき
なるべく長いパスワードで作成すると良いことがわかります。

その他にも2段階認証などのサービスを展開しているところでは、積極的に利用することをおすすめします。

自分の普段使っているパスワードヤバイ！とか感じた方は、パスワードの管理や見直し、更新もこの機会にやっちょいましょう！