テレビや映画で、特殊な機械を使用してパスワードを数秒で解析して侵入している場面を観たことがありますね。
実は、パスワードを解析して侵入するのはテレビや映画の世界だけではなく、現実に起きていることです。
なぜなら、特殊な機械を使用しなくても、普通のパソコンでパスワードを1秒以下で解析できてしまいます。
この記事では、パスワードが解析される時間や強力なパスワードの作成について解説します 記事を読み終えることで、パスワードに関する危機管理が身につきます。
つなみに、パスワードに関するまとめ情報は【パスワードの【安全な作り方・管理・解析時間・特定】について、まとめてみた】幅広く解説しています。
1.パスワードの安全性と組み合わせパターン
パスワードの安全性は、解析するのに、どれくらいの時間がかかるのかで決まるので、単純に解析するのに時間がかかるものがパスワードの安全性が高いと言えます。
解析に時間がかかるパスワードは、組み合わせパターン数が多くなります。組み合わせパターン数を多くするには、入力文字の桁数と文字の種類を増やすしかありません。
例えば4桁の暗証番号で数字だけの場合は、0000〜9999で1万通りの組み合わせができますし、8桁で英字と数字の組み合わせなら3兆通りの組み合わせが可能性です。
では、実際に何桁のパスワードが何分位で解析されるのか気になりますよね?
[HOW SECURE IS MY PASSWORD?]というサイト計測した結果がこちらです
| 数字のみ | 数字+英字(大文字+小文字)+記号 | |||||
| 桁数 | 8桁 | 10桁 | 12桁 | 8桁 | 10桁 | 12桁 |
| 時間 | 一瞬 | 3秒 | 42分 | 9時間 | 6年間 | 3万4000年 |
この計測は、一例です。
パソコンの性能の日々進化していますし、複数のパソコンを繋いで解析したりパソコンの部品を強化することで解析スピードをあげることもできるので、知識があれば家庭用のパソコンで、パスワードを解析できます。
では、パスワードを解析されると、どうなるのでしょうか?
2.パスワードが解析されると
パスワードを解析されると様々なトラブルや被害をうけます。下記がその一例です。
金銭的な被害
ネットバンキングなどの直接金銭につながるサービスや、ポイントサイトなどの金銭に近いものを管理するサービスが多くあります。
このようなサービス上でパスワードを破られてしまうと不正に出金、送金されるなどの被害が発生する恐れがあります。
個人情報などの情報が漏洩
パスワードによって保護されていた個人情報などの情報が漏洩してしまう被害が発生します。 メールで機密情報を送る際には、多くの方がそのファイルにパスワードを設定するかと思います、
そのパスワードは大丈夫ですか?
簡単なパスワードを設定して、もしそのパスワードが破られてしまった場合、そこから情報が漏洩する可能性があります。
特にPDFファイルなどは、簡単なパスワードしか設定できない場合がありますので要注意です。
Webの改ざんSNSの不正利用
Webサイトなどでは、システム上よく利用されるWordPressなどがこの被害に遭いやすいと言えます。管理するためのログインパスワードが破られると、Webの内容を改ざん、破壊することができるようになります。
また、FacebookやTwitteなどの乗っ取りも多発しています。SNSの改ざんもパスワードを破ることによって可能になり、ログインされて全く関係のない投稿をされてしまったりするので注意が必要です。
3.効果的な対策方法は
現時点では12桁以上のパスワードにすることにより、パソコンを使ってもパスワードを破るまでに数年かかります。
また当然ですが、桁数が多ければ多いほど、文字数が多ければ多いほど時間がかかるので、可能であれあば10桁、12桁などの文字数で設定し、英字だけでなく、数字さらには記号を組み合わせることが効果的です。
また、ログインロックを使用することで効果が期待できます。
ログイントロックとは、複数回パスワードを間違えるなどログインできない試行が続いた場合に、数分間アカウントを停止するなどの設定のことです。 理論上ブルートフォースアタック(総当り攻撃)を試みられると、時間をかければどんなパスワードでも解読できてしまいます。
しかし、例えば「5回失敗したらアカウントをロック」するというログインロックを設定することにより、さらに大幅な時間がかかることになるので、この対策がブルートフォースアタック(総当り攻撃)には効果的であると言えます。
IDとパスワードだけでログインするサービスの多くは、ブルートフォースアタック(総当り攻撃)によってパスワードが解析されてしまうと手も足も出ません。
このようなサービスでは、2要素認証を導入しておくと、仮にパスワードが知られてしまったとしても、それだけではログインできなくなるので、ブルートフォースアタック(総当り攻撃)が怖くなくなります。
2要素認証を導入すると、あらかじめ登録しておいた「電話番号」や「メールアドレス」に認証コードが送られてきて、それを入力してはじめてログインが可能になります。
色々なサービスで導入していますので、ぜひご利用のサービスでもご確認ください。
POINT
○8桁以上のパスワードにする
○英字・数字・記号を織り交ぜる
○2要素認証を導入する
○パスワードの使い回しをしない
合わせて読みたい
4.まとめ
パソコンの性能は年々向上しているので(もしかしたらスマートフォンでも解析できるかもしれません)全ての組み合わせを試せる時間も短くなっていますので、できる限り組み合わせパターン数が多くなるように工夫が必要です。
桁数と文字の種類が多くなると管理するのが大変になりますが、被害に遭わないようにする為に覚えやすい安易なパスワードは辞めましょう。
難しい技術的な知識やノウハウがなくても実施できてしまうのが「ブルートフォースアタック」です。
その対策としては、パスワードはなるべく桁数と多くして、ログインロックの設定もする。さらに可能であれば2要素認証の導入も実施しましょう。
この3つの施策を行うことにより、ブルートフォースアタックを防げる可能性が高まりますので、ぜひ実施しておきましょう。
合わせて読みたい
最後まで読んで頂きありがとうございます。
以上「パスワードの解析は一秒以下で起きている!これが現実です」の記事でした。See you later
にほんブログ村
PAGE TOP