次回パスワードを作成することを余儀なくされるとき、特にサイトで大文字と小文字、または数字、またはシンボルのクレイジーな組み合わせを使用する必要がある場合は、これらの難読化の試みはパスワードが信じられないほど安全であることを自動的に意味すると仮定しないでください。
Webrootのシニアセキュリティアナリスト、Randy Abrams、いくつかの簡単なテストを実行しました。彼は、数字、大文字、小文字、シンボルなど、8文字のパスワードで作成できるすべての潜在的なパスワードをカウントしました。 (これは95^8の可能性のある組み合わせであり、6,634,204,312,890,625、つまり6.6 Quadrillionになります。)
誰かがあなたのパスワードを把握しようとしていると仮定しましょう典型的なブルートフォース攻撃。彼らがテストできると仮定します1秒あたり310億パスワード。合理的に複雑な8文字のパスワードを通り抜ける方法は、せいぜい212,903秒かかる可能性があります。それは3,548分、または約2日半です。
それでは、1分間制約について話しましょう。使用しているサービスを仮定します必要8文字のパスワードを持っています。エイブラムスは、長い単一の文字から7文字の長さのすべてのパスワードが無効であるため、ミックスから70.6兆パスワードを取り除くことに注意してください。これにより、ひび割れのツールがなんと2,277秒、つまり38分近くを節約できます。そうではありませんあまりにも悪い。
セキュリティの名前で、8文字のパスワード(暗記用)を使用し、サービスを強制して大文字と小文字、およびシンボルを使用する場合はどうなりますか。それはもっと安全ですよね?これはより複雑なパスワードであり、攻撃者が解読するのが難しくなりますか?まったくありません。エイブラムスが指摘しているように、たとえば、潜在的なパスワードのプールを18.5%削減し、たとえばAll-LowerCaseパスワードなどのアイテムを削除しました。システムがシナリオでパスワードを嗅ぎ分けるための2日間、最大。
サービスでこのパスワードに番号が付いている必要がある場合、そしてそのアドバイスを受けてそれを行い、「複雑な」パスワードをわずか8文字に保持するだけで、潜在的なパスワードをカットして、ブルートフォースツールが約41%推測する必要があります。私たちのシナリオでは、最大時間を34時間、または1日半未満に短縮します。
より短いパスワードを推測またはブルートフォースするのが難しくなる最良の方法を心配するのではなく、エイブラムスは、より長いパスワードを選択する方がはるかに良いとアドバイスします。サービスにパスワードの制約がある場合でも、影響がはるかに少ないので、
「長いパスワードにほとんど影響がないことに気付いたかもしれません。多くの場合、長いパスワードに制約を課すことにもほとんど価値がありません。これは、パスワード内の追加文字ごとにパスワードのプールが指数関数的に成長するためです。 4つの文字セットすべてを使用する8つの文字パスワードの場合よりも、小文字のみを使用して16文字のパス単語の組み合わせが650万倍あります。つまり、「toodlesmypoodles」は、「i81b@gle」よりもひび割れがはるかに難しくなることを意味します。
おそらく3ワードのパスフレーズを使用してはならず、代わりにパスフレーズに固執するべきですたくさんの言葉を使用します- 長さは問題ありません。あなたがそのルートに行くなら。
さらに良いことに、あなたのためにロングパスフレーズ(それは単なる有名な引用やかなり一般的なフレーズではありません)を使用してくださいパスワード管理アプリ、セキュリティの2番目の層を追加します二因子認証(テキストメッセージを介して受信するログインコードではなく、アプリまたは他のハードウェアデバイスから生成するトークン)。次に、パスワードマネージャーを使用して、他のすべてのサービスの大文字、小文字、数字、シンボルでいっぱいの16以上の文字パスワードを生成します。ワイルドになります。
また、制約のある短いパスワードを持つだけで、特に数字を使用する必要がある場合には、緊張している場合は、サインアップしようとする場合。運が良ければ、おそらくセキュリティを後押しするために、2FAもそこにセットアップできるかもしれません。
