8文字のWindowsパスワードはわずか2時間半で突破可能と判明
セキュリティに関する研究を行っているハッカーのTinker氏は、NVIDIAの最新GPUである
GeForce RTX 2080 Tiとオープンソースのパスワードクラッキングツールである「hashcat」を組み合わせることで、
8文字のWindowsパスワードをわずか2時間半で突破できると報告。
2011年、セキュリティ研究者のSteven Myer氏は、
「8文字のパスワードはブルートフォース攻撃を使えば44日で突破されてしまう」と警告を発しました。
しかし、それから4年後の2015年にはソフトウェア開発者のJeff Atwood氏が「平均的なパスワードの長さは8文字である」と述べ、
多くの人々はパスワードの長さを変える努力をしていない様子。
Tinker氏は「人々はパスワードを作る際に大文字、小文字、数字や記号などを混ぜた複雑な文字列を設定するように要求されますが、
これは人々が自身のパスワードを記憶するのを難しくしています」と指摘。
この要求が、多くのユーザーがパスワード設定時に要求される最低文字数である
8文字のパスワードを作りがちな理由だとしています。
なお、「パスワードには大文字、小文字、数字などを混ぜるべき」という説について、
パスワードの専門家が「文字列を複雑にしても特に意味はなかった」と認めています。
そこで、Tinker氏はパスワードを設定する際に「ランダムで5個の単語を組み合わせるといい」と述べています。
たとえば「Lm7xR0w」という8文字の複雑なパスワードよりも、
「phonecoffeesilverrisebaseball」という5個の単語を適当に組み合わせたパスワードの方がセキュリティ的に強くなるとのこと。
また、2段階認証を有効にすることもセキュリティを強化するために重要だとしています。
ネットの反応や口コミは?
へー 長さのほうが重要てか
しかしブルートフォースアタックと辞書アタック組み合わせたりとかなんか穴がありそうな
???「何文字以上で!」???「記号!大文字!」
???「単語使うな!」
???「一定期間経過!はよ変えろ
!」
???「すまん、お前の個人情報流出したわ。心からお詫びします」
一般人にとっては
パスワードクラックされて不正利用されるより
パスワード忘れてログインできなくなるリスクのほうがでかい
パスワードに漢字が使えればいいのに。
海外からのアクセスにもかなり強くなりそう
ひらがな、漢字適用出来るようにすれば最強だろ
会社のクソシステムは30日毎にパスワード変更要求されるうえに過去のパスワード使えないから年月いれてるぞ
パスワードの強度は
(何種類から選ぶか)^(いくつ組わせるか)
と見積もれる。通常のアルファベット大小+数字 は62種類あるから、その8文字パスワードは
62^8 = 218,340,105,584,896
パターンから探すわけだな。
英単語は3万種類あるとして、それを5つ組み合わせると
30000^5 = 24,300,000,000,000,000,000,000
パターン存在することになる。
これはランダム英数字18文字弱ぐらいの強さに相当するはず。
辞書攻撃ってのは、「辞書にある言葉を『それだけを、そのまま(または少ない数の組み合わせ)』で使うとき」
にめちゃめちゃ脆いってだけなんだよね。
