世界中でオンライン化やテレワークが進み、PCやスマホで様々なWebサービスやアプリを利用するのが当たり前になった今、色々な場面でパスワードを設定する必要に迫られる。
今現在、自分が設定しようとしているパスワードは強度的にどうなのか?
果たしてパスワードはどれくらいの長さにすべきなのか?
これを複数のパスワード強度チェッカーサイトを利用して検証してみる。
検証するパスワードの種類
使用する文字
- 半角数字 [0~9]
- 半角英字 [a~z、A~Z]
- 半角英数字 [0~9、a~z、A~Z]
- 半角英数字記号 [0~9、a~z、A~Z、記号]
上記の4パターンでテストを行う。
文字数(桁)
4桁、6桁、8桁、12桁、16桁、20桁、24桁、30桁、40桁
上記の「4桁から40桁まで」のテストを行う。
※4桁未満はパスワードとしてあり得ないので検証から除外してあります。
パスワード生成方法
LastPassのパスワードジェネレータを利用して、上記の各パターンのパスワードを生成します。
■パスワード ジェネレータ | LastPass
URL:https://www.lastpass.com/ja/password-generator
テストするパスワード強度チェッカーサイト
以下の4つのパスワード強度チェッカーサイトでテストを行います。
Password Check | Kaspersky
URL:https://password.kaspersky.com/jp/
My1Login Password Strength Test
URL:https://www.my1login.com/resources/password-strength-test/
Thycotic Password Strength Checker
URL:https://thycotic.com/resources/password-strength-checker/
How Secure Is My Password?
URL:https://howsecureismypassword.net/
パスワード強度の検証結果
4つのパスワード強度チェッカーサイトを利用し、使用する文字列のパターン別で任意の桁数のパスワード強度チェックを行いました。
以下がブルートフォースアタック(総当たり攻撃)で突破(解読)されるまでの時間の一覧表です。
【※単位】
「京」は兆の1万倍、【垓】は京の1万倍、【𥝱】は垓の1万倍です。
半角数字 [0~9] を利用したパスワード
| 検証サイト名\桁数 | 4桁 | 6桁 | 8桁 | 12桁 | 16桁 | 20桁 | 24桁 | 30桁 | 40桁 |
|---|---|---|---|---|---|---|---|---|---|
| Kaspersky | 2分 | 29分 | 2日 | 55年 | 17万6,400年 | 計測不能 | 計測不能 | 計測不能 | 計測不能 |
| My1Login | 0.5秒 | 22秒 | 1時間 | 11か月 | 2,000年 | 1億5,900万年 | 2兆年 | 200京年 | 計測不能 |
| Thycotic | 1マイクロ秒 | 100マイクロ秒 | 10ミリ秒 | 2分 | 2週間 | 300年 | 300万年 | 3兆年 | 320垓年 |
| How Secure Is My Password? | 200ナノ秒 | 25マイクロ秒 | 3ミリ秒 | 25秒 | 3日 | 79年 | 79万年 | 792億年 | 80垓年 |
半角英字 [a~z、A~Z] を利用したパスワード
※30桁、40桁は省略してあります。
| 検証サイト名\桁数 | 4桁 | 6桁 | 8桁 | 12桁 | 16桁 | 20桁 | 24桁 |
|---|---|---|---|---|---|---|---|
| Kaspersky | 2分 | 3時間 | 12日 | 400年 | 計測不能 | 計測不能 | 計測不能 |
| My1Login | 2分 | 7か月 | 134年 | 1,600万年 | 100兆年 | 2,080垓年 | 計測不能 |
| Thycotic | 700ミリ秒 | 2秒 | 1時間 | 1,000年 | 90億年 | 6京6千兆年 | 4,840垓年 |
| How Secure Is My Password? | 200マイクロ秒 | 500ミリ秒 | 22分 | 300年 | 20億年 | 1京7千兆年 | 1,210垓年 |
半角英数字 [0~9、a~z、A~Z] を利用したパスワード
※30桁、40桁は省略してあります。
| 検証サイト名\桁数 | 4桁 | 6桁 | 8桁 | 12桁 | 16桁 | 20桁 | 24桁 |
|---|---|---|---|---|---|---|---|
| Kaspersky | 2分 | 3時間 | 12日 | 400年 | 32万年 | 計測不能 | 計測不能 |
| My1Login | 1時間 | 2日 | 2年 | 2,900万年 | 24兆年 | 20垓年 | 計測不能 |
| Thycotic | 1ミリ秒 | 6秒 | 6時間 | 1万年 | 1,510億年 | 200京年 | 33𥝱年 |
| How Secure Is My Password? | 400マイクロ秒 | 1秒 | 2時間 | 3,000年 | 380億年 | 55京8,000兆年 | 8𥝱年 |
半角英数字記号 [0~9、a~z、A~Z、記号] を利用したパスワード
※24桁、30桁、40桁は省略してあります。
| 検証サイト名\桁数 | 4桁 | 6桁 | 8桁 | 12桁 | 16桁 | 20桁 |
|---|---|---|---|---|---|---|
| Kaspersky | 2分 | 3時間 | 12日 | 400年 | 計測不能 | 計測不能 |
| My1Login | 43分 | 7か月 | 19年 | 8,570億年 | 300京年 | 計測不能 |
| Thycotic | 2ミリ秒 | 9秒 | 1日 | 13万8,000年 | 5兆年 | 1垓7,000京年 |
| How Secure Is My Password? | 500マイクロ秒 | 2秒 | 9時間 | 3万4,000年 | 1兆年 | 4,300京年 |
まとめ
コンピューターの性能は日々上昇し、安全なパスワードの桁数も時代とともに増えていきます。
パスワードを設定するなら、パスワードジェネレータ等を利用してランダムな文字列を作成。そして文字数は以下を目安に設定しましょう。
■半角数字 [0~9] を利用したパスワードの場合
最低30桁以上(出来れば35桁以上)、40桁以上なら安心
■半角英字 [a~z、A~Z] を利用したパスワードの場合
最低20桁以上、24桁以上なら安心
■半角英数字 [0~9、a~z、A~Z] を利用したパスワードの場合
最低20桁以上、24桁以上なら超安心
■半角英数字記号 [0~9、a~z、A~Z、記号] を利用したパスワードの場合
最低16桁以上、20桁以上なら安心、それ以上なら超安心
※ちなみに私は、パスワード生成の際は必ずパスワードジェネレータ等を利用し、半角英数字記号 [0~9]、[a~z]、[A~Z]、[記号] を必ず全て含むランダム文字列30桁以上のパスワードを常に利用しています。
これは大原則ですが、強固なパスワードを生成してもテキストファイルなどにコピペして平文で保存していたら全く意味がありません。パスワードの保存は必ず「KeePass」等のパスワード管理ソフトを利用し、そして更にセキュリティを高めるために、二段階認証(2FA)等が使える場合は必ず利用しましょう。
以上で解決です。
