2018年12月06日に初出の投稿

Last modified: 2018-12-06

あなたが利用しているサービスが8文字のパスワードを要求しているとします。Abrams氏は、その制約で組み合わせのうちの70兆6000億個が除外されると指摘しています。[...] というのも、その制約で1文字から7文字の長さのパスワードがすべて無効とされるからです。それによって、パスワードを破るのに必要な時間がなんと2277秒、つまり38分弱も短くなります。これはなかなかの数字です。

「大文字と小文字を必ず使ってください」はパスワードを脆弱にしている

当サイトではパスワードの運用について幾つかの記事を書いたり翻訳しているのだが、こういうクズみたいなコタツ記事はページを作って批判するに値しない。

まず、大小の英字(52文字)+数字(10文字)+記号(34文字)の合計96文字から選んで構成される8桁の文字列は、組み合わせの総数が7,213兆8,957億8,983万8,336個になる。こんなものは96の8乗を計算できる機器かソフトウェア、あるいは Google の検索ボックスに「96^8」と入力しても答えが出てくる。そして、なんでもこの愚かな人々によると、パスワードをちょうど8桁だけに制限して、1桁や5桁のパスワードを許容しない認証システムを作れば、70兆もの組み合わせを無視することになるという。しかるに、ぶるーとふぉーす攻撃なるものでは、1桁から8桁までの全ての組み合わせを攻撃するのにかかる所要時間の3,548分に対して、38分も短縮されてしまうという。

アブラハムとかいう技術者が書いたという元の記事は読んでいないが、この連中は自分で数字を見ていて、何も気づかないのだろうか。約7,200兆個の組み合わせが、約7100兆個の組み合わせに減る。そして所要時間が3,548分から3,510分に減る。おお、それは凄いことだ。所要時間が1%も短縮されてしまっているぞ。これは由々しきことなので、1桁のパスワードも許容するようにシステムを直さなくては・・・そんなわけないだろ。1桁や3桁のパスワードを作られて数秒でクラックされるよりも、残りの最大で3,510分はかかる条件にしておく方が安全に決まってるじゃないか。

情報セキュリティにおいて最も危険なのは、むやみに矮小な数字だけを取り上げて騒ぐ「専門家」の記事をコピペしては喜んでる連中の記事を簡単に信じてしまうことなのだ。情報セキュリティにおいて適正な情報を普及させるときの敵は、何も情報を意図的に攪乱させるような攻撃者だけではない。生半可な知識や技術や判断でデタラメを口にする「情報セキュリティの専門家」もまた敵になりうるのである。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook