https://news.yahoo.co.jp/articles/985b662015cb076a4429fe69f60c68812796c9a1
漏洩パスワード、最も多い文字列は「123456」 配列なぞった「qwerty」も4位
とのことで、パスワードがとても重要な今の世の中になりました。
記事でも書かれていますが、パスワードの桁数は長ければ長いほど突破されずらいのです。
しかし、実際問題として長ければ長いほど別のリスクが存在します。
【パスワードの危険状況は2つある】
まず、パスワードが突破される危険状況を知りましょう。
1.コンピューター解析
昔からある古典的な方法です。数字、記号、アルファベットなどで作られたパスワードを総当たりします。
皮肉にも、桁数を増やしてもリスクは思ったほど減りません。
なぜなら、コンピューターの能力が上がれば上がるほど、作れる桁数が増えると考えてもらってよいのですが、コンピューターの能力が上がれば上がるほど、総当たりで解析できるスピードも上がるのです。
例えば、30年前のPCであれば、10桁の解析に7日かかったのが、今では2日などです。(あくまで例えです)
2.ソーシャルハック
かつてFBIの指名手配受けた有名なハッカー ケビン・ミトニックが使った王道なのですが、何かと言うと、紙に書いたパスワードや、パスワード知っている本人をうまくだまして聞き出す方法です。
ケビン・ミトニック(本社システム部の人間を装い電話)「お疲れ様です。開発のケビンです。あなたのパスワードがハッキングされた可能性があるので、変更したいと思います。PCで行うとリスクがあるのでお電話であなたのパスワードを確認したいのですが、お知らせください」みたいな。(あくまで例え)
3.AI解析(近い未来)
技術的には既に可能です。AIを利用すれば、パスワードの候補を作れます。
1万人くらいのパスワード、生年月日、趣味、などの個人情報をAIの読み込ませて、パスワードのパターンを解析させればよいのです。これにより、パスワード候補が作る事ができ、ハッカーは最適化されたパスワード候補でアタックできます。
この方はまだ表立って利用されている形跡がないので、第三の方法としてのみ定義します。
【そもそもパスワードの定期変更はリスク低減にならない】
よくあるコレ、辞めて欲しいですね。
なぜあまり意味がないか?というと、例えば、パスワードを6桁の、数字+アルファベット(大文字小文字)にします。
これを定期変更したところで、
1.上記のコンピューター解析においては、解析確率は変わらない
2.上記のソーシャルハックにおいても、毎回変わるので紙に書くかエクセルにまとめてしまう
のです。むしろリスクが上がると言ってよいかもしれません。
【パスワードの桁数を増やしすぎもよくない】
同じように、パスワードを6桁の、数字+アルファベット(大文字小文字)から、12桁の倍にして考えます。
1.上記のコンピューター解析では、確かに解析までの時間がかかるので良い!
2.上記のソーシャルハックでは、もう覚えられないし、紙に書いても入力が大変になるので、エクセルなどに確実にまとめてしまう
のです。なので、リスクが上がっている気がします
【では何がよいのか?】
私は、人間が覚えられて、紙にもエクセルにも書かないパスワードがよいと思います。
あと、定期変更もなし!
データを取ったことありませんが、8桁なら何とか覚えられそうです。そう、8桁固定パスワード!
例えば、OKINA889など 8桁は行けそうではありませんか??
もちろん、コンピューター解析には弱いですが、ソーシャルハックはある程度防げそうです。
【でも、別の側面が・・・】
なのですが、結局のところ、各会社がビビって
・パスワードを12桁にする
・定期変更をさせる
・数字+アルファベット+記号など複雑する
などをするので、覚えられず、エクセルなどに記載してしまいます。もちろん8桁固定パスワードも記載してしまうでしょう・・・
結局は? うーん、AI解析が出る事考えると、最強はナシとなります