数字で読み解く! 人生の「確率」/第7回

あなたのパスワードが破られる確率は?

2011.10.03 MON


ちなみに、人名や地名など意味のある単語をパスワードに用いるのも危険。パスワードによく使われる単語のデータベースを使い解析を行う「辞書攻撃」という、「ブルートフォース攻撃」よりも効率的な攻撃手段があるのだ 画像提供:tooru sasaki/PIXTA
先日発覚した、三菱重工業など防衛関連企業に対するサイバー攻撃事件。今のところ、大きな被害は確認されていないようだが、セキュリティ対策に厳しい大企業でも、こうした被害にあうことを知って、自分のパソコンや携帯電話などの安全性に不安を感じた人もいるだろう。

ウィルス感染などに関しては、ウィルスの検知・駆除を行ってくれるセキュリティ対策ソフトを導入すれば、個人レベルならほぼ万全といえるだろうが、特に気を付けたいのがメールやウェブサービスなどで設定しているパスワード。いちいち覚えるのが面倒なので、一度決めたパスワードを変更しないで使っている人も多いと思うが、果たしてそれはどれくらい危険なことなのだろうか? パスワードが破られる確率を使って計算してみよう。

今回はすべての文字の組み合わせを片っ端から試す「ブルートフォース攻撃」を例に考えてみる。最近のパソコンの性能を考え、仮に1秒間に1000万通りの組み合わせを試せる攻撃ソフトを用いたとしよう。アルファベット大文字小文字と数字(全62文字種)を使ったパスワードなら、4文字の場合には1447万6336通りの組み合わせとなるので、なんと2秒以内ですべての組み合わせが試される=パスワードが解析されてしまう。これが倍の8文字(218兆3401億558万4896通り)となれば、解析にかかる時間は最大でも約250日。パスワードの文字数を8文字以上としているサービスが多いのは、こうした理由からだ。

とはいえ、たとえ1年かかったとしても、ブルートフォース攻撃の場合には、相手が根気よく攻撃を続ければ、パスワードは必ず解析されてしまうもの。そこで重要とされているのが、パスワードの定期的な変更である。8文字のパスワード解析に250日かかるのだから、仮に1年間同じパスワードを使い続けると、確実に解析されてしまうものと考えたとき、半年に1回パスワードを変更すると、その安全性はどれくらい高まるのか。

「パスワードが解析される確率」を求めるには、まず「パスワードが解析されない確率」を計算する。半年(6カ月)でパスワードが解析されない確率は50%(0.5)。1年間パスワードが解析されないためには、50%の確率が2回続く必要があるため、

0.5(上半期で解析されない確率)×0.5(下半期で解析されない確率)=0.25

1年間パスワードが解析されない確率は25%。意外にも変更しない場合に比べ、リスクが25%しか下がらないのだ。つまり、「解析される」確率は75%ということになる。

では2カ月に1回変更した場合はどうだろう? 2カ月間でパスワードが解析されない確率は約83%<1-(1÷6)≒0.83>。この確率が6回続くので、

0.83×0.83×0.83×0.83×0.83×0.83≒0.33=33%

なんと、半年に1回変更する場合とリスクが大きく変わるわけでもないのだ(解析される確率は67%)。

そのため、セキュリティ対策専門家の間では、定期的なパスワード変更より、パスワードの文字数や英数字以外の記号を混ぜるといった、組み合わせの数を増やす方が対策としては効果的との声もあるようだ。実際には、対策として間違ったパスワードを入力してもよい回数が制限されているサービスも多いため、上記の計算はあくまでも理論上のものに過ぎないが、パスワードの文字数&文字種は増やしておくに越したことはない、というのは覚えておくとよいだろう。ただし、パスワードを複雑にしすぎると、忘れてしまうリスクが高まるわけなのだが。

(石井敏郎)

取材協力・関連リンク

関連キーワード

注目記事ピックアップ

 

編集部ピックアップPR

ブレイクフォト