こんにちは、阿久梨絵です!
「31千年」──これは ノートン が示した、あるパスワードの“解読にかかる時間”です。
数字だけを見ると安心できそうですが、実際にはどれくらいの時間が表示されれば「安全」と判断できるのでしょうか。
この記事では、パスワード強度を「時間」で評価する意味と、実務で役立つ安全基準について解説します。
なぜ「時間」で評価するのか?
パスワードの安全性は、単なる「文字数」や「記号の有無」だけではなく、攻撃者がどれだけの時間をかければ破れるかによって判断されます。
この「解読にかかる時間」は、主に以下の要素によって決まります。
| 要素 | 内容 |
|---|---|
| 文字数 | 長いほど組み合わせが増えます |
| 文字種 | 数字・大文字・小文字・記号の混在が有利です |
| ハッシュ方式 | bcryptなどの高負荷アルゴリズムが安全です |
| 攻撃手法 | 総当たり(ブルートフォース)、辞書攻撃、レインボーテーブルなどがあります |
| 攻撃者のGPU性能 | RTX4090やA100などの性能により大きく変動します |
解読時間の目安(2024年版)
Hive Systems社の最新レポートをもとに、パスワード構成ごとの解読時間を整理すると以下のようになります。
| パスワード構成 | 解読時間(目安) |
|---|---|
| 小文字のみ8文字 | 数秒〜数分(危険) |
| 英数字+記号8文字 | 数時間〜数日(要注意) |
| 英数字+記号12文字 | 数千年〜数万年(安全) |
| bcrypt+英数字12文字 | 数十万年(非常に安全) |
※攻撃者のGPU性能やハッシュ方式によって、実際の時間は変動します。
ノートンの「31千年」は安全といえるのか?
結論から申し上げますと、「数千年」以上の解読時間が表示される場合、現時点では十分に安全といえます。
ただし、以下の条件を満たしていることが前提です。
・サービス側が安全なハッシュ方式(例:bcrypt)を使用していること
・パスワードを他のサービスと使い回していないこと
・多要素認証(MFA)を併用していること
実務で使えるパスワード設計術
UX設計者や技術者の方が意識すべきポイントは、以下のとおりです。
・12文字以上で、英大文字・小文字・数字・記号を混在させること
・意味のある単語(辞書攻撃対象)を避けること
・定期的に変更するよりも、強力なパスワードを長く使う方が安全であること
・パスワード管理ツール(例:ノートン Password Manager)を活用すること
まとめ
ノートン のようなツールで「数千年〜数万年」と表示される場合、現代の攻撃手法では事実上破られる可能性は極めて低いと考えられます。
ただし、技術は日々進化しています。
「今安全」でも「未来も安全」とは限りません。だからこそ、多要素認証とパスワード管理の併用が、これからのセキュリティ対策の鍵となります。
阿久梨絵でした!
