安全なパスワードの条件

堅牢なパスワードが最重要

ホームページのウイルス対策やSNSやショップサイトの乗っ取り対策で重要なのが、複雑なパスワードを設定することです。

WordPressのホームページやSNSやショップサイトが乗っ取られる場合、まず狙われるのがログイン画面です。

WordPressの場合は、ログイン画面のURLを推測されにくいものにするのも1つの策です。

ログインURLが判明すると、ハッカーはアタック用のプログラムを組んで、IDとパスワードの組み合わせを片っ端から試してきます。
その数なんと1時間に1000万回以上ものアタックをどのサイトも受けています。

パスワードを複雑にすることで、判明するのにかかる時間を引き延ばし、諦めさせることが可能です。

英語サイトですが、どのようなパスワードが突破されるまでどのくらい時間がかかるかを表にしたものです。
How long does it take to crack your password?

左から

  • 数字のみ
  • アルファベット小文字
  • アルファベット小文字+大文字
  • アルファベット小文字+大文字+数字
  • アルファベット小文字+大文字+数字+記号

となります。

紫の欄は「一瞬」で突破されます。
赤は1秒~8時間。現実的な時間です。

安心な数値としては人間の寿命を超えるところからではないでしょうか。
すると以下の条件が最低限ということになります。

  • 数字のみ→ NG
  • アルファベット小文字のみ→ 15文字以上
  • アルファベット小文字+大文字→ 12文字以上
  • アルファベット小文字+大文字+数字 →12文字以上
  • アルファベット小文字+大文字+数字+記号 →11文字以上

数字や記号が入っても最低ラインが12文字以上ということが意外でした。
ただ、ハッカーの技術は日進月歩です。今300年かかっていたところが、来月には3年になるかもしれません。事実、15年前は「8文字パスワード」が主流でした。

数字や記号が入ることで300年が2000年や3万4000年になるということは、少しでも長い安心を手に入れられるという事だと思います。

パスワードの変更はアタックに対してはあまり意味がない

上記のように、大量アタックのハッキングに対しては、定期的に簡単なパスワードを変更することは意味がないということになります。強力な物理攻撃に対して弱い防具を定期的に買い変えても意味がないのと同じです。
パスワードを変更するのは漏れた場合のログインを防ぐ効果は高いですが、ハッカーからのアタックを突破させないためにはあまり意味がありません。

また、複数のログインを同じメールアドレスとパスワードで管理するのも危険です。
1つが解析されると芋づる式に漏れてしまいます。

まとめ

最低でもアルファベット小文字+大文字(できれば数字と記号)で12文字以上のパスワードが必要

  • 複雑なパスワードを設定する(数字だけのパスワードや12文字以下はNG)
    ※一定のアタックでロックがかかるセキュリティがある場合は数字4桁などでも可です。
  • 複数のSNSやホームページ、ネットショップなどで共通のパスワードを使用しない。全て別のものにする
  • 頻繁に変える必要はないが年に1度くらい変えておくと安心