パスワード強度をテストする方法

確実に覚えられる強力なパスワードを選択するのは面倒です。独自の要件を持つパスワード作成フィールドはたくさんあります。7文字である必要があり、数字が含まれている必要があります。これらの指示に従うことは、安全なパスワードを保証するものではありません–まったくありません。ただし、従うべきいくつかのルールと、可能な限り最高のパスワードを使用していることを確認するためのヒントがあります。

パスワードの強度をテストする最初のルールは、オンラインツールを使用してパスワードをテストするときに非常に注意することです。Webサイトまたはダウンロード可能なソフトウェアは、テストしようとしているパスワードを取得して、それをワードリストに追加する可能性があります。ワードリストは、既知の一般的なパスワードのリストです。ワードリストは数百万のエントリまで実行される可能性があり、ハッカーは「aaaaaa」から始まるすべての可能な組み合わせを試す遅い方法ではなく、知識に基づいてパスワードを推測するために使用します。

つまり、単語リストには「Susie1202」や「Password12」などのパスワードが保持されます。ハッカーは、一致することを期待しているサイトでパスワードリストを実行します。そのようなリストにないパスワードを持っていることが重要です。多くの人が一般的なパスワードまたは一般的なパスワードを使用しているため、これらのワードリストは驚くほど効果的です。ありがたいことに、あなたはあなた自身ではありません–あなたを助けるためのいくつかのツールがあります：パスワードセキュリティチェッカー。

これらのチェッカーは通常、信頼できるサイバーセキュリティ会社によって運営されています。ただし、このタイプのツールを使用するときは常に注意してください。常にリスクが伴います。安全であるかどうかを絶対に確信せずに、パスワードの強度を測定するために提供しているWebサイトやプログラムを信頼するだけではいけません。実際、これらのツールを提供している一部のサイバーセキュリティ企業でさえ、実際のパスワードを使用せず、潜在的なテストのみを推奨しています。念のため、ツールを使用した同様のパスワード。

では、Webサイトやアプリを使用してパスワードを確認せずに、パスワードの強度をどのように知る必要がありますか？

答えは驚くほど簡単です。パスワードを安全にするものについてさらに学び、それに応じてパスワードを設計することです。

攻撃の種類

安全なパスワードを設計しようとすると、ハッカーがどのように攻撃しようとするかを理解するのに役立ちます。攻撃には主に2つのタイプがあります。ブルートフォース、および辞書。

ブルートフォース攻撃は、考えられるすべての文字の組み合わせを試します。十分な時間が与えられると、このメソッドは最終的にすべての可能なパスワードを解読します。この攻撃タイプの主な欠点は、時間がかかることです。試行する組み合わせが多いほど、時間がかかります。必要な時間は天文学的なものになる可能性があります。プログラムが1分あたり数万の可能性を実行できる場合でも、数百万の組み合わせが可能であり、これらの攻撃は無効になります。長いパスワードがこの方法を使用して解読される可能性はほとんどありません。すべての可能性を実行し、パスワードを見つけるのに数十年かかる可能性があるためです。

辞書攻撃では、前述のワードリストを使用して、パスワードが何であるかを知識に基づいて推測します。この手法は、ブルートフォース攻撃と比較して、行われる推測の数を劇的に減らし、プロセスを大幅にスピードアップします。ワードリストは通常​​、漏洩した既知のパスワードに基づいています。この種の攻撃を実行するように設計されたソフトウェアには、一般的なバリエーションを試すために単語を変更できる「単語マングリング」ルールを含めることもできます。たとえば、単語マングリングルールは、「o」を「0」に置き換えたり、「！」を追加したりしようとする場合があります。単語の終わりまで。これらのルールは一般的に、人々が行う一般的な置換または追加に基づいています–言うまでもなく、それはあまり安全ではありません。このタイプの攻撃の主な欠点は、攻撃者がすでにワードリストにパスワードを持っている必要があることです。

強力なパスワードを作成する方法

パスワードの強度には、長さ、一意性、複雑さという3つの重要な要素があります。

ヒント：安全ではないため、この記事に記載されているパスワードやパスワードの一部は使用しないでください。

長さがパスワードの強度にどのように影響するかは、非常に簡単に理解できます。パスワードの文字数が多いほど、ハッカーが統計的に正しく推測する前に、より多くの文字の組み合わせを試す必要があります。たとえば、4文字の単語よりも6文字の単語の方がはるかに多くなります。実際、追加されたすべての文字について、可能な組み合わせの総数は指数関数的に増加します。

長さはブルートフォース攻撃に対する最善の保護ですが、たとえば、64文字のパスワードを覚えるのは簡単ではありません。それも必要ありません。理想的な状況は、パスワードを非常に長くして、時間と労力を費やしてパスワードを解読することが不可能になるようにすることです。理想は10文字以上です。ほとんどの場合、それで十分です。

一部の人々は、めちゃくちゃ長いパスワードを使用する計画を思い付くかもしれません。たとえば、詩、歌詞、シェイクスピア全集などです。Webサイトで許可されているとすれば、これは一種の作業ですが、ある時点で、ハッカーがこれらの既知の例を「万が一に備えて」ワードリストに追加すると、アイデアが崩壊します。ここで、独自性が発揮されます。

独自性を判断するのは難しいです。地球上の70億人を超える人々のうち、完全にユニークなものを思いつくのは難しいかもしれませんが、それでも試す価値はあります。現在でも使用されている最も一般的なパスワードには、「admin」、「password」、「123qwe」、「qwerty」があります。これらは、短いだけでなく、よく知られているため、ひどいパスワードです。おそらく最初の推測の1つとして、すべてのワードリストに含まれます。「Password1！」を使用して、これらのパスワードをもう少し複雑にしようとする人もいます。しかし、これは予測しすぎて、ほとんどのワードリストにも含まれています。

ワードリストベースの攻撃に打ち勝つには、知られていない、または考えられないパスワードを設計する必要があります。最良のケースは、完全にランダムな文字の選択を使用することですが、これは覚えにくい可能性があります。

「udGlw3sLDAu8KLYu％duTmi1 $$ @ WijMw6ln＃*％cyu4n9％DTrXO」は安全なパスワードですが、実用的ではありません。

まともな解決策は、単語の選択を使用することです、それは一緒に何も意味しません。ウェブコミックXKCDで普及している1つの例は、「CorrectHorseBatteryStaple」です。この概念は非常に強力で、長さとランダム性の両方を促進し、結果は文字と記号のランダムな文字列よりも覚えやすいはずです。覚えていることがいくつかある限り、好きな動物、花、好きな俳優の名前など、好きな言葉を選ぶことができます。あなたが今あなたの机に座っている5つのものでさえうまくいくでしょう！

複雑さに関して：それは必須です–それは間違いなくパスワードを作成することの最も重要な側面の1つです。文字を数字に変更し、記号を追加すると、パスワードが複雑になる可能性があります。ランダムな文字、数字、記号の10文字の文字列は、100回連続した文字「a」よりも優れたパスワードであり、推測される可能性は低くなります。これは、「a」よりも優れたパスワードです。 Password12！」。

複雑さは、パスワードを推測しにくくするための良い方法ですが、覚えにくくすることもできます。健康的なバランスを見つけることがすべてです。一般に、数字と記号をどこかに含めることで少し複雑にするだけで、パスワードの強度に実際に違いをもたらすのに十分な改善になります。できるだけ多くの文字を数字や記号に変更する必要はありません。覚えにくくなるだけです。

結論

3つの要件を要約すると、パスワードについて覚えておくべきいくつかの良いルールは次のとおりです。

• パスワードは、妥当な最小長として10文字である必要がありますが、それ以上の方が適切です。
• パスワードは、単純な単語や一般的な単語の組み合わせであってはなりません。それらは一意である必要があります。
• パスワードには、数字や記号を含むさまざまな文字タイプを含める必要があります

ヒント：興味があり、長さと複雑さが全体的なパスワード強度にどのように影響するかについてライブの視覚的なデモンストレーションが必要な場合は、オンラインのパスワード強度テスターを使用することはひどい考えではありません。次の例は信頼できるサイトです。パスワードと情報を入力する場所には常に注意してください。一部のサイトはパスワードを盗もうとしている可能性があります。以下のサイトは信頼できることが知られています：

• https://www.uic.edu/apps/strong-password/
• https://password.kaspersky.com/
• https://lastpass.com/howsecure.php