アメリカのバージニア州に本社を置くIT企業「ハイブ・システムズ(Hive Systems)」社の見積もりでは、単純な8文字のパスワードであれば、ハッカーはわずか37秒で解読できるそうです。しかし、16文字のパスワードを解読するには百年以上はかかるであろうといいます。専門家のアドバイスによれば、「パスワードの設定は長ければ長いほど安全である」といいます。
ハイブ・システムズ社によれば、パスワードの暗号化対策が日を追うごとに改善されている現在、たびたびパスワードを更新し、英数字と記号などの文字をより多く使用することで、ハッカーがパスワードを解読するのに必要な時間を延長させることができると述べています。
ハイブ・システムズ社は、ハッカーがさまざまなパスワードの組み合わせを解読するのにかかる時間を詳細に記した「2024年パスワード解読タイムライン」を公表しました。この表は毎年更新されています。
現在、多くのウェブサイトでは、英数字と記号を含む8文字以上のパスワードを要求しています。しかし専門家によれば、要求をさらにグレードアップする必要があるのではないかと述べています。パスワードが長いほど、可能な順列の組み合わせが多くなり、ハッカーにとっては推測に多くの時間を必要とするからです。
数字だけからなる単純な8文字のパスワードは、考えられるすべての組み合わせを試行する「総当たり攻撃」によって37秒で解読できます。もし数字を含む16文字のパスワードを使用した場合、正解を得るまでに119年かかります。
専門家は、たとえ比較的単純なパスワードであっても、より長いパスワードを使うことを推奨しています。数字、アルファベットの大文字、小文字、記号を組み合わせた8文字のパスワードを解読するには7年かかりますが、数字のみの16文字のパスワードを解読する時間はそれよりも長くなります。
ハイブ・システムズ社は、より信頼性の高いパスワードの暗号化方式を分析しました。2024年の統計表では、パスワードを解読するのに必要な時間が以前よりも長くなりました。しかし同社は、「今後数年間のうちに計算能力が向上すれば、パスワード解読に必要な時間の増加は長く続かない可能性がある」と警告しています。
ハイブ・システムズ社によってテストされるパスワードはランダムに生成されたものです。
もしパスワードが以前に漏洩されたことがある場合や、辞書に載っている単語が使われていたり、複数のウェブサイトで使用されている場合は、解読に要する時間が大幅に短縮されてしまいます。自分のパスワードの信頼性を調べたければ、パスワードの強度をテストするウェブサイトを検索して、変更する必要があるかどうかを判断するのもいいでしょう。
パスワードは長ければ長いほど安全とはいえ、パスワードの管理は難しいため、多くの人が解決方法として「パスワード・マネージャー」を採用しています。「パスワード・マネージャー」はログイン認証情報を安全に保存・暗号化し、独特で複雑なログインを好むため、データ漏洩のセキュリティ・リスクを抑えることができます。
信頼性の低いパスワードを使用している場合でも、多くのウェブサイトでは通常、パスワードの誤入力回数を制限するなど、ハッカーによる「総当たり攻撃」を防ぐためのセキュリティ対策を講じています。機密情報に接続するウェブサイトでは、ハッカーを防ぐために2段階認証などの追加のセキュリティ対策を使用することがよくあります。
なお、過去によく推奨されていたのは、パスワードを頻繁に変更することでしたが、現在専門家は、強大且つ独特なパスワードを設定し、漏洩していない限りずっと使用できると主張しています。頻繁に変更すると、ユーザーが強度の比較的弱いパスワードや似たようなパスワードを繰り返し利用する可能性があるため、強大且つ独特なパスワードを設定すれば、より効果的であると考えられています。
(翻訳・夜香木)