確実に覚えられる強力なパスワードを選択するのは面倒です。 独自の要件を持つパスワード作成フィールドはたくさんあります。7文字である必要があり、数字が含まれている必要があります。 これらの手順に従うことは、安全なパスワードを保証するものではありません。まったく保証されません。 ただし、従うべきいくつかのルールと、可能な限り最高のパスワードを使用していることを確認するためのヒントがあります。
パスワードの強度をテストする最初のルールは、オンラインツールを使用してパスワードをテストするときに非常に注意することです。 ウェブサイトやダウンロード可能なソフトウェアは、テストしようとしているパスワードを取得して、それをワードリストに追加する可能性があります。 ワードリストは、既知の一般的なパスワードのリストです。 ワードリストは数百万のエントリに実行される可能性があり、ハッカーは「aaaaaa」から始まるすべての可能な組み合わせを試す遅い方法ではなく、知識に基づいてパスワードを推測するために使用します。
つまり、単語リストには「Susie1202」や「Password12」などのパスワードが保持されます。 ハッカーは、一致することを期待しているサイトでパスワードリストを実行します。 そのようなリストにないパスワードを設定することが重要です。 多くの人が一般的なパスワードまたは一般的なパスワードを使用しているため、これらのワードリストは驚くほど効果的です。 ありがたいことに、あなたはあなた自身ではありません–あなたを助けるためのいくつかのツールがあります:パスワードセキュリティチェッカー。
これらのチェッカーは通常、信頼できるサイバーセキュリティ会社によって運営されています。 ただし、このタイプのツールを使用する場合は常に注意してください。常にリスクが伴います。 パスワードの強度を測定するために提供されているWebサイトやプログラムを信頼するだけでなく、安全であるかどうかを完全に確認する必要はありません。 これらのツールを提供しているサイバーセキュリティ企業は、実際のパスワードを使用せず、ツールを使用して潜在的なパスワードまたは同様のパスワードのみをテストすることを推奨しています。 念のため。
では、Webサイトやアプリを使用してパスワードを確認しなくても、パスワードの強度をどのように知ることができるでしょうか。
答えは驚くほど簡単です。パスワードを安全にする理由を詳しく学び、それに応じてパスワードを設計することです。
攻撃の種類
安全なパスワードを設計しようとすると、ハッカーがどのように攻撃しようとしているのかを理解するのに役立ちます。 攻撃には主に2つのタイプがあります。 ブルートフォース、および辞書。
ブルートフォース攻撃は、可能なすべての文字の組み合わせを試します。 十分な時間があれば、この方法は最終的にすべての可能なパスワードを解読します。 この攻撃タイプの主な欠点は、時間がかかることです。試行する組み合わせが多いほど、時間がかかります。 必要な時間は天文学的なものになる可能性があります。プログラムが1分あたり数万の可能性を実行できる場合でも、数百万の組み合わせが可能であり、これらの攻撃は無効になります。 長いパスワードがこの方法を使用して解読される可能性はほとんどありません。すべての可能性を実行し、パスワードを見つけるのに数十年かかる可能性があるためです。
辞書攻撃は、前述のワードリストを使用して、パスワードが何であるかを知識に基づいて推測します。 この手法は、ブルートフォース攻撃と比較して行われる推測の数を劇的に減らし、プロセスを大幅にスピードアップします。 ワードリストは通常、漏洩した既知のパスワードに基づいています。 この種の攻撃を実行するように設計されたソフトウェアには、一般的なバリエーションを試すために単語を変更できる「単語マングリング」ルールを含めることもできます。 たとえば、単語マングリングルールは、「o」を「0」に置き換えたり、「!」を追加したりしようとする場合があります。 単語の終わりまで。 これらのルールは通常、人々が行う一般的な置換または追加に基づいています。言うまでもなく、これはあまり安全ではありません。 このタイプの攻撃の主な欠点は、攻撃者がすでにパスワードをワードリストに含める必要があることです。攻撃はワードリストと同じくらい優れています。
強力なパスワードを作成する方法
パスワード強度には、長さ、一意性、複雑さという3つの重要な要素があります。
ヒント:安全ではないため、この記事に記載されているパスワードやパスワードの一部は使用しないでください。
長さがパスワードの強度にどのように影響するかは、非常に簡単に理解できます。 パスワードの文字数が多いほど、ハッカーが統計的に正しく推測する前に、より多くの文字の組み合わせを試す必要があります。 たとえば、4文字の単語よりも6文字の単語の方がはるかに多くなります。 実際、追加されたすべての文字について、可能な組み合わせの総数は指数関数的に増加します。
長さはブルートフォース攻撃に対する最善の保護ですが、たとえば、64文字のパスワードを覚えるのは簡単ではありません。 それも必要ありません。 理想的な状況は、パスワードを非常に長くして、時間と労力を費やしてパスワードを解読することが不可能になるようにすることです。 理想は10文字以上です。ほとんどの場合、それで十分です。
一部の人々は、めちゃくちゃ長いパスワードを使用する計画を思い付く可能性があります。そのため、ブルートフォース攻撃を行うことは不可能です。 たとえば、詩、歌詞、シェイクスピア全集などです。 Webサイトで許可されていると仮定すると、これは一種の作業になりますが、ある時点で、ハッカーがこれらの既知の例を「万が一に備えて」ワードリストに追加すると、アイデアが崩壊します。 ここで独自性が生まれます。
独自性を判断するのは難しいです。 地球上の70億人を超える人々のうち、完全にユニークなものを思いつくのは難しいかもしれませんが、それでも試す価値はあります。 現在でも使用されている最も一般的なパスワードには、「admin」、「password」、「123qwe」、「qwerty」があります。 これらはひどいパスワードです。短いだけでなく、よく知られているため、おそらく最初の推測の1つとして、すべてのワードリストに含まれます。 「Password1!」を使用して、これらのパスワードをもう少し複雑にしようとする人もいます。 しかし、これは予測しすぎて、ほとんどのワードリストにも含まれています。
ワードリストベースの攻撃に打ち勝つには、知られていない、または考えられないパスワードを設計する必要があります。 最良のケースは、完全にランダムな文字の選択を使用することですが、これは覚えにくいでしょう。
「udGlw3sLDAu8KLYu%duTmi1 $$ @ WijMw6ln#*%cyu4n9%DTrXO」は安全なパスワードですが、実用的ではありません。
適切な解決策は、単語の選択を使用することです。これは、一緒に何も意味しません。 ウェブコミックで普及した一例 XKCD、は「CorrectHorseBatteryStaple」です。 この概念は非常に強力で、長さとランダム性の両方を促進し、結果は文字と記号のランダムな文字列よりも覚えやすいはずです。 覚えていることがいくつかある限り、好きな言葉を選ぶことができます。好きな動物、花、好きな俳優の名前などです。 あなたが今あなたの机に座っている5つのものでさえうまくいくでしょう!
複雑さについて:これは必須です–これは間違いなくパスワード作成の最も重要な側面の1つです。 文字を数字に変更したり記号を追加したりすると、パスワードが複雑になる可能性があります。 ランダムな文字、数字、記号の10文字の文字列は、より適切なパスワードであり、 推測では、文字「a」を100回続けて使用するよりも、パスワードの方が優れています。 「password12!」。
複雑さは、パスワードを推測しにくくするための良い方法ですが、覚えにくくすることもできます。 健康的なバランスを見つけることがすべてです。 一般に、どこかに数字と記号を含めることで少し複雑にするだけで、パスワードの強度に実際に違いをもたらすのに十分な改善になります。 できるだけ多くの文字を数字や記号に変更する必要はありません。覚えにくくなるだけです。
結論
3つの要件を要約すると、パスワードについて覚えておくべきいくつかの良いルールは次のとおりです。
- パスワードは、妥当な最小長として10文字にする必要がありますが、それ以上の方が適しています。
- パスワードは、単純な単語や一般的な単語の組み合わせであってはなりません。 それらは一意である必要があります。
- パスワードには、数字や記号など、さまざまな種類の文字を含める必要があります
ヒント:興味があり、長さと複雑さが全体的なパスワード強度にどのように影響するかについてライブのビジュアルデモンストレーションが必要な場合は、オンラインパスワード強度テスターを使用することはひどい考えではありません。 次の例は信頼できるサイトです。 パスワードと情報を入力する場所には常に注意してください。一部のサイトでは、パスワードを盗もうとしている可能性があります。 以下のサイトは信頼できることが知られています。
- https://www.uic.edu/apps/strong-password/
- https://password.kaspersky.com/
- https://lastpass.com/howsecure.php