2024

November

プログラミング

情報セキュリティの学び直し – パスワード編

1 はじめに
2 推奨されるパスワードとは
- 2.1 なぜ、定期的な変更が推奨されなくなったのか
3 敵はこのように攻めてくる
4 強度ってなんだ
5 計算式の概要
- 5.1 パスワードとして設定可能な組み合わせの総数
- 5.2 文字セットのサイズの導き方
6 実際に攻撃を仕掛けてみよう
7 結果について
8 まとめ

はじめに

今回は情報セキュリティについてです。デジタル社会についてまわる情報漏洩問題。
そのため、システム面でも様々な対応が進められております。
しかし、手軽に個人でできる最前線の防御手段は、強度の高いパスワードを設定することです。
基礎中の基礎ではありますが、忘れがちなポイントも多いためこの機会に学び直しましょう！

推奨されるパスワードとは

総務省の【国民のためのサイバーセキュリティサイト】では、以下のようなパスワードが推奨されています。

長さは10文字以上

大文字・小文字、数字、記号の組み合わせ

自分や家族の名前、電話番号、生年月日は避ける

辞書に載っている単語は避ける

同じ文字の繰り返しは避ける

推測できる簡単なパスワードを利用しないようにしよう

上記はご存知の方も多いですよね。

では、下記については聞いたことありませんか？

『パスワードは定期的に変更する』

実はこれ、現在は推奨されなくなった対策なんです。

なぜ、定期的な変更が推奨されなくなったのか

理由はいくつかあるのですが、その大きな要素のひとつ。

変更が前提となると、簡易なパスワードを設定する人の割合が大きくなります。

変更を前提とした覚えやすいパスワードを設定するよりも、複雑で強度の高いパスワードを設定することがセキュリティにおいては重要だからです。

では、そのパスワードの『強度』とは、一体どうやって決まるのでしょうか。

そして、なぜ『強度』が必要とされるのでしょうか。

敵はこのように攻めてくる

自身を守る必要があるのは、悪意を持って攻撃を行う人物やシステムが存在するためです。

攻撃者はあらゆる方法により、こちらの防衛を突破しようと試みます。

有名な攻撃手段としては下記の通りです。

ブルートフォース攻撃（総当たり攻撃）：入力可能なパスワードを片っ端から試す方法。
辞書攻撃：よく使われる単語やフレーズを試す攻撃方法。
フィッシング：偽のメールやウェブサイトを使ってユーザーにパスワードを入力させる手法。

※最後の『フィッシング』においては、ユーザの認識やシステム側の対応が必要となるため今回は割愛しますが、『ブルートフォース攻撃』、『辞書攻撃』においては、パスワードを強化することである程度の対策が可能です。

強度ってなんだ

パスワードが破られるまでの期間は、通常「ブルートフォース攻撃」を前提として計算されます。
攻撃によりパスワードが破られるまでの計算には、以下の要素が関与します。

パスワードの桁数：長いパスワードほど多くの組み合わせが生まれます。
使用される文字セット：使用する文字によって、可能な組み合わせ数が増えます。

パスワードの長さが増えるほど、また文字セットが複雑になるほど、破るまでに必要な時間は指数関数的に増加します。
より長く、多様な文字を使うことで、破られるまでの時間を大幅に延ばすことが可能です。

計算式の概要

パスワードとして設定可能な組み合わせの総数

【組み合わせ数 = (文字セットのサイズ) ^ パスワードの長さ】

文字セットのサイズの導き方

数字のみ：10（0-9の10文字）
小文字英字のみ：26（a-zの26文字）
記号：36（おおよそ、36種類）
小文字、大文字、数字、記号を組み合わせて使う：98（26+26+10+36）などです。

実際に攻撃を仕掛けてみよう

では、ここまでのご説明させていただいた内容を踏まえ、実際に攻撃を仕掛けてみましょう！

Q．10桁のパスワードはどれくらいの時間で破られるのでしょうか？

総当たりが完了するまでのおおよその時間を計算してみます。

総当たり攻撃の試行速度はシステムや攻撃手法に依存するため、
今回は参考例として、1秒間に10億回（10^9回）試すことができると仮定します。

おおよその計算方法

【組み合わせ数 / 10^9回 = かかる時間（秒）】

検証するパスワードの組み合わせ

今回はわかりやすく、「最も簡単」なものと「最も複雑」な組み合わせを検証します。

・数字のみ：10種類

　　例：1234567890

・全種類（数字＋記号＋英大文字・英小文字）：98種類

　　例：12!!ABcd90

結果（端数切り捨て）

・数字のみ（10種類）
　10^10 / 10^9
　＝ 10秒

・全種類（数字＋記号＋英大文字・英小文字）：（98種類）
　98^10 / 10^9
　＝2,870年

結果について

同じ10桁のパスワードでありながらも圧倒的な違いが出ました。

数字のみのパスワード は 10秒 。

全種類を組み合わせたパスワード は 2,870年 。

ちなみに計算は割愛しますが12桁の場合であれば、 16分 と 2,500万年 まで差が開きます。

この結果により、なぜパスワードは強度を高める必要があるのか、ご理解いただけたかと思います。

まとめ

色々とご説明しましたが、最終的には『長くて複雑であるほど良い！』というシンプルな結論です。
しかし、パスワードの定期的な変更が推奨されなくなったのと同様に、情報セキュリティの『常識』は今後もアップデートされていきます。
情報セキュリティは対策したらそれで終わりではなく、その後の定期的な確認もとても大切です。
この機会に、情報セキュリティに関する常識を見直し、アップデートしていきましょう。

TEXT BY

YAMADA

システムエンジニア

システムの運用保守や開発業務に10年ほど携わり、2024年にタイガーラック株式会社へ入社。趣味は映像作品の視聴（特にホラーが好き）や動画制作。学生時代はサッカーに熱中していましたが、現在ではワールドカップを観る程度。4年に1度サッカーの話を振ってくれると嬉しいです。

« 【Linux】CentOS7とUbuntuのSSH接続設定の相違

【Laravel】主キーが文字列型の場合に値を取得できない問題と解決法 »

このカテゴリの最新記事

2024.05.30

【Linux】NFSサーバーの設定方法

2023.04.10

PHPで文字化けを解消する方法(mb_convert_encoding)

2024.04.24

一開発者からみたRPAのメリットとデメリット

2024.08.22

centos7サポート終了に伴うOSの移行について

2023.09.15

【Laravel】jQueryのajax関数で419エラーが発生した時の解決法

2023.07.19

【RPA】PowerAutomateDesktop(PAD)を使ったブラウザ操作自動化

2023.10.02

【Linux】よく使うLinuxコマンド一覧

2023.09.11

【Certbot】CentOS7+Apache2.4にLet’s Encryptで証明書発行