こんにちは、エッジです。
「この取引所はパスワードの桁数が○○しかないので、セキュリティレベルが低い」といった話を聞くことがあります。私はセキュリティの専門家ではありませんが、本当にセキュリティレベルが低いと言えるのかなと疑問を持ちまして、少し調べてみました。
目次
パスワードの桁数とハッキングに必要な時間
「Webサイト」のパスワードハッキングに必要な時間について、有意な情報を得ることができませんでした。いきなり残念な形での紹介となりましたが、その代わりと言っては何ですが、パスワード付ZIPのハッキングに必要な時間ついての情報が得られました。
株式会社ディアイティがセキュリティレポートを公表していまして、その中でパスワード付ZIPのハッキング時間に関しての検証結果が書かれてありました。条件は次のとおりです。
- 実施日:2012年12月
- ハードウェア:PC1台(CPU:Intel Core i7、システムメモリ:8GB、GPU:GeForce GTX 680)
- OS:Windows7(64bit)
- ソフトウェア:市販ツール(改造なし)
- ツール:パスワードの総当たり攻撃(Brute Force Attack)
- 手法:パスワードの総当たり攻撃(Brute Force Attack)
検証結果は次の表のとおりです。
4桁 | 6桁 | 8桁 | 10桁 | |
---|---|---|---|---|
英小文字(26字) | 1秒以下 | 1秒以下 | 46秒 | 9時間 |
英大小文字+数字(62字) | 1秒以下 | 13秒 | 13.5時間 | 6年 |
英大小文字+数字+記号(93字) | 1秒以下 | 2分24秒 | 14日 | 341年 |
8桁のパスワードはたとえ記号を混ぜていたとしても、たった14日でハッキングできてしまうので、論外であることが分かります。また、10桁のパスワードでも記号を混ぜておかないと安心できません。
ハッキングの解析速度は5年で数万倍になっているという事実
このハッキングに必要な時間は、2008年2月にIPA(情報処理推進機構)が公表したデータよりも数万倍高速になっていると言われます。解析速度は5年で数万倍になっています。
ということは、先ほど公表したデータは2012年12月時点のものであり、現段階(2018年2月)では数万分の1の解析時間ということになります。やっぱり10桁のパスワードでは全然安心できない。数日でハッキングされてしまう!?
確かにそうなんですが、今までのデータはパスワード付ZIPのハッキングの話です。
Webシステムのパスワードハッキングは容易ではない
先ほどの試験内容は、パスワード付ZIPのハッキングです。パソコンのハードディスク上のファイルにパスワードを総当たり攻撃するので、1秒間に45憶回の攻撃ができます。とてつもなく早いスピードでトライ&エラーを繰り返すことができるということです。
しかし、Webサイトのパスワード総当たり攻撃は1秒間にそれほど多くの攻撃ができるわけではありません。IDとパスワードのリクエストを送って、レスポンスが返ってくるのを待つという挙動では1秒間に1回程度でしょう。並列で送ったとしても、HTTPの仕組みを使っている限りは数百から数千が限界だと思われます。
つまり、英大小文字+数字+記号の10桁パスワードは容易には突破されないと言えます。
最後に、パスワードは1桁大きくなると○○倍
改めて試験データを確認してみると、英大小文字+数字+記号は93文字です。1桁増えると、総当たりするパターンは93倍増えることになります。
パスワードの桁数を増やしていくと、必要となる時間はとてつもなく増えていきます。
桁数 | 必要時間【年】 |
10 | 341 |
11 | 31,713 |
12 | 2,949,309 |
13 | 274,285,737 |
14 | 25,508,573,541 |
15 | 2,372,297,339,313 |
16 | 220,623,652,556,109 |
17 | 20,517,999,687,718,100 |
18 | 1,908,173,970,957,790,000 |
19 | 177,460,179,299,074,000,000 |
20 | 16,503,796,674,813,900,000,000 |
「この取引所はパスワードの桁数が○○しかないので、セキュリティレベルが低い」という話は、人間の感覚ほどにはセキュリティレベルは低くないということが分かってもらえたのではないでしょうか。