パスワード1億9,300万件を分析してわかった最強パスワードとは
マイナビニュース / 2024年6月20日 8時28分
Kaspersky Labは2024年6月18日(現地時間)、「How quickly can attackers guess your password?|Securelist」において、ダークWebサイトに公開されている既知のパスワード約1億9,300万件を使用してパスワード強度の評価を行い、その結果を公開した。これら既知のパスワードの強度は実質上、ないに等しいが、Kaspersky Labは強力なパスワードの条件を特定するための実験サンプルとして使用している。
○パスワード強度の測定
Kaspersky Labはパスワード強度の評価方法として、複数のパスワードクラックを実行し、その解読時間の推定値を使用した。パスワードクラックの手法としては「ブルートフォース攻撃」、「辞書攻撃」などを使用。辞書攻撃の単語としては英単語以外に名前、固有名詞、人気のパスワード(passwordや12345など)を使用している。
認証アルゴリズムとしては「ソルト付きMD5ハッシュの一致」を採用。RTX 4090 GPUを使用して一致するハッシュ値が得られるまでの時間の推定値を計測する。この条件下における各パスワードクラック手法を使用した強度の評価結果は次のとおり。
○単純なブルートフォース攻撃による評価結果
単純なブルートフォース攻撃において最も解読困難と評価されたパスワードは、10文字以上の長さ、かつすべての文字種を使用したもの。解読には1年以上かかると評価された。最も脆弱と評価されたパスワードは文字のみ、数字のみ、記号のみのもの。これらの大部分は24時間以内に解読できると評価された。
○スマートなブルートフォース攻撃による評価結果
パスワードの大部分は単語、名前、日付、連番、キーボードの並びなどを一部に含む。これを考慮したブルートフォース攻撃のアルゴリズムが複数存在しており、これらアルゴリズムを使用した強度の評価も実施している。
この手法を使用した場合、調査対象のパスワードの約45%は1分以内、約59%は1時間以内、約73%は1か月以内に解読できると評価された。解読に1年以上かかる強力なパスワードは全体の約23%にとどまった。
○辞書攻撃
調査対象のパスワードの約57%が辞書に載っている単語を含むため、この攻撃手法を使用すると全体的に強度が低下する結果となった。辞書に載っている単語を含むパスワードの約67%は1時間以内に解読できるとされる。逆に、すべての文字種を含み辞書の単語を含まないパスワードの場合は、8文字の短さでも解読に1年以上かかると評価された。
○強力なパスワードとは
Kaspersky Labは今回の調査結果から、強力なパスワードの条件を次のように結論付けている。
すべての文字種を含むランダムに生成された十分に長いパスワード
この強力なパスワードは記憶することが困難なため、実用するにはパスワードマネージャーを利用する必要がある。Kaspersky Labはパスワードの生成も含め、パスワードマネージャーを利用してパスワードを管理することを推奨している。
ただし、一般論としてWebブラウザのパスワードマネージャーはサイバー攻撃の標的となりやすいことから使用は推奨されていない。また、記憶する必要のあるパスワード(パスワードマネージャーのマスターパスワードなど)については、意味のあるフレーズを使用せず、記憶に残るフレーズを使用するように推奨している。
(後藤大地)
外部リンク
この記事に関連するニュース
-
Kasperskyレポート:1億9,300万件のパスワードを対象に、さまざまな解読手法に対する強度を分析 ~ 45%が1分未満に解読される結果に
PR TIMES / 2024年6月24日 14時45分
-
ランサムウェアの被害に遭った時に必要なパスワードリセットのポイント
マイナビニュース / 2024年6月21日 10時58分
-
脆弱性最新情報 - Check Point VPN、FortiSIEM、Linuxカーネルで悪用確認
マイナビニュース / 2024年6月7日 7時25分
-
260億件の流出したデータ確認、ブラウザでパスワード流出を確認する方法
マイナビニュース / 2024年6月6日 8時29分
-
<Kasperskyサイバー脅威レポート:2023年ランサムウェアの脅威> 2023年に対処したインシデントで最も多かったのはランサムウェア、3件に1件に達したことが明らかに
PR TIMES / 2024年6月4日 16時45分
ランキング
-
1楽天モバイル、ついにプラチナバンド開始 都市部の穴を埋めるのがメイン
ASCII.jp / 2024年6月27日 17時20分
-
2BOSAI POINTサービス終了に伴い、nanacoポイントからのポイント交換サービスを終了
ポイ探ニュース / 2024年6月27日 8時43分
-
3「低価格・高リスク」の非純正バッテリーに消費者庁が注意喚起 過去10年で火災227件
ITmedia NEWS / 2024年6月27日 12時29分
-
4ダイソー商品18種の材質表示にミス発覚…… 返金対応実施「深くお詫び」
ねとらぼ / 2024年6月27日 7時30分
-
5Windows 11、ユーザー許可なしにOneDriveバックアップを有効化
マイナビニュース / 2024年6月27日 8時16分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください