Kaspersky Labは2024年6月18日(現地時間)、「How quickly can attackers guess your password?|Securelist」において、ダークWebサイトに公開されている既知のパスワード約1億9,300万件を使用してパスワード強度の評価を行い、その結果を公開した。これら既知のパスワードの強度は実質上、ないに等しいが、Kaspersky Labは強力なパスワードの条件を特定するための実験サンプルとして使用している。

  • How quickly can attackers guess your password?|Securelist

    How quickly can attackers guess your password?|Securelist

パスワード強度の測定

Kaspersky Labはパスワード強度の評価方法として、複数のパスワードクラックを実行し、その解読時間の推定値を使用した。パスワードクラックの手法としては「ブルートフォース攻撃」、「辞書攻撃」などを使用。辞書攻撃の単語としては英単語以外に名前、固有名詞、人気のパスワード(passwordや12345など)を使用している。

認証アルゴリズムとしては「ソルト付きMD5ハッシュの一致」を採用。RTX 4090 GPUを使用して一致するハッシュ値が得られるまでの時間の推定値を計測する。この条件下における各パスワードクラック手法を使用した強度の評価結果は次のとおり。

単純なブルートフォース攻撃による評価結果

単純なブルートフォース攻撃において最も解読困難と評価されたパスワードは、10文字以上の長さ、かつすべての文字種を使用したもの。解読には1年以上かかると評価された。最も脆弱と評価されたパスワードは文字のみ、数字のみ、記号のみのもの。これらの大部分は24時間以内に解読できると評価された。

スマートなブルートフォース攻撃による評価結果

パスワードの大部分は単語、名前、日付、連番、キーボードの並びなどを一部に含む。これを考慮したブルートフォース攻撃のアルゴリズムが複数存在しており、これらアルゴリズムを使用した強度の評価も実施している。

この手法を使用した場合、調査対象のパスワードの約45%は1分以内、約59%は1時間以内、約73%は1か月以内に解読できると評価された。解読に1年以上かかる強力なパスワードは全体の約23%にとどまった。

辞書攻撃

調査対象のパスワードの約57%が辞書に載っている単語を含むため、この攻撃手法を使用すると全体的に強度が低下する結果となった。辞書に載っている単語を含むパスワードの約67%は1時間以内に解読できるとされる。逆に、すべての文字種を含み辞書の単語を含まないパスワードの場合は、8文字の短さでも解読に1年以上かかると評価された。

強力なパスワードとは

Kaspersky Labは今回の調査結果から、強力なパスワードの条件を次のように結論付けている。

  • すべての文字種を含むランダムに生成された十分に長いパスワード

この強力なパスワードは記憶することが困難なため、実用するにはパスワードマネージャーを利用する必要がある。Kaspersky Labはパスワードの生成も含め、パスワードマネージャーを利用してパスワードを管理することを推奨している。

ただし、一般論としてWebブラウザのパスワードマネージャーはサイバー攻撃の標的となりやすいことから使用は推奨されていない。また、記憶する必要のあるパスワード(パスワードマネージャーのマスターパスワードなど)については、意味のあるフレーズを使用せず、記憶に残るフレーズを使用するように推奨している。