辞書: パスワード

投稿日: 更新日:

パスワードとは

何かを通る(パスする)ために必要な合言葉(ワード)です。

パスワードの定期変更は非常識

なぜか常識ということにされている1、パスワードの定期変更ですが、 定期変更は一部の例外を除いて非常識です。 それを説明します。

なぜかというと、パスワードを定期変更して欲しいということは、 「一定期間以上同じパスワードを使うと解析されてしまう」 ということを意図しています。

しかし、それは以下の場合に限ります。

  1. ハッシュ化されたパスワードが攻撃者の手元にある
  2. 総当り攻撃すればバレる程度の強度しかない(4桁数字なら最大でも10000回)

しかし、ハッシュ化されたパスワードが攻撃者の手元にある時点で、 それは既に攻撃に成功しています。なので、 「攻撃されてハッシュ化されたパスワードが流出してしまったので、 パスワードを変更してください」と言うべきです。

2.は3回間違えれば使えなくなる銀行のATMならともかく、 そのようなパスワードを使う(使える)こと自体が間違いです。

「一部の例外」というのは、パスワードを共有している場合です。 このへんは以下の記事が良いと思います。

この件は正直「当たり前」なので、 いつの間に間違いが常識になってしまったのか謎です。

パスワードは文字の種類よりも長さが重要

定期変更は論外ですが、こちらは少し微妙な話です。

パスワード設定時に、アルファベット大文字や記号を必須にするシステムが多いですが、 そういうのは良くなかったという話です。

確かに、記号が混ざった8文字より、 アルファベット小文字のみで12文字の方が試行回数が多いので 破られにくいというのは理屈では合ってます2

ただ、いくら長くても、辞書にある言葉を3つ組み合わせる程度だと、 破られやすいんじゃないかなぁと思います。


  1. “パスワードの定期変更"はもはや無意味! セキュリティの現実を直視すべし─NTTデータ先端技術、辻氏 | マイナビニュースでは「パスワードの定期変更という"常識"は現実的ではない!?」という書き方で、まるで定期変更が常識みたいに書かれています。

  2. どっちが強い? 英字だけの長いパスワード vs 記号を含めた短いパスワード - Qiita