パスワードチェッカーの比較 [調査]
金融機関から口座のパスワードの変更依頼が来ていたので、パスワードをどう変更するかを検討してみました。
パスワードの強度を判定してくれるソフトウェアのことを「パスワードチェッカー」と言いますが、
古くからマイクロソフトのものがありました(ITpro2007年7月23日「パスワードの強度を今すぐチェック, マイクロソフトのパスワード チェッカー」参照)。
久しぶりに、キーワードを「パスワードチェッカー」としてインターネット検索をしてみたところ
マイクロソフトのほかに、カスペルスキー、、インテル、アジャイルという会社 のもあり、どう判定をしてくれるか 比較をしてみました。
適当に、パスワードを適当に 「 K2xy34fk 」としてみて調べてみました。
試してみた結果は、
マイクロソフト 普通 (4段階の2段階目)
カスペルスキー 12年
インテル 約 20.74分
アジャイル 13 years
という結果で、開きが結構あるとの感想を最初、持ちました。
カペルスキーのパスワードチェッカーのページでは、「一般的な家庭用コンピューターを使って … 次の期間に解析されてしまいます」という説明がしてあり、
その下の部分に、「Mac Book Pro 12年」、「Conficker botnet 5時間」、「Tianhe-2 Supercomputer 2分」と書いてある 棒グラフの比較表が付けられていることに気付きました。
家庭用コンピューターなら パスワード解析に 13年程度かかるが、
スパコンなら2分、ボットネットを使われていると5時間。
パスワード解析に使うコンピューターの性能次第で、解析時間はピンキリだというわけです。
なので、インテルの 約20分も、スパコンレベルに近い高性能なものを使ってパスワード解析すれば 約20分で解析できると言っているだけだということがやっと理解できました。
カスペルスキー、インテルなどのパスワードチェッカーの結果は 矛盾しているわけではなく、どのレベルのコンピューターを使って解析することを前提にしているかで生じた相違で、前提条件が違っているから、結果が違っているだということになります。
解析ツールとなるコンピューターの性能がスパコンレベルの高性能なものなら、「K2xy34fk」というパスワードなんかであれば ほんの少しの間に 破られてしまう程度だという理解をしておけといういことになるのでしょう。
ちなみに、「K2xy34fkK2xy34fk」と、「K2xy34fk」を2回続けたパスワードにしてみて、再度試してみたところ、
カペルスキーでは スパコンでも 10000+ 世紀 となりました。
インテルのでは 317048878年 という結果でした。
(大小の英数字と数字を組み合わせるという前提で、) パスワードを長くしてみるのが、強度を上げるために手っとり早い方法となるようです。
コメント 0