パスワードの安全性を評価するために,パスワードの文字数とパスワードが推定される確率を計算する.
P = (L・R) / S
ここで,有効期間 | 文字数 | 解析確率 |
1か月 | 6 | 1/250 |
7 | 1/21,500 | |
8 | 1/1,980,000 | |
3か月 | 6 | 1/78 |
7 | 1/7,200 | |
8 | 1/660,000 | |
6か月 | 6 | 1/39 |
7 | 1/3,600 | |
8 | 1/330,000 | |
12か月 | 6 | 1/19 |
7 | 1/1,800 | |
8 | 1/165,000 |
S = (L・R) / P
M = log (S) / log (A)
ここで,L = P・S / R = AM /(2R)
で求められる.このパスワード解析時間は,パスワード解析時間評価ツール で計算できる.928 / 926 = 8464 倍
8 文字と16 文字では,9216 / 928 = 5132188731375616 倍
違う.パスワードに対する攻撃方法は,大きく分けて次の3つである.
パスワード攻撃に対する安全性は,ユーザがパスワードを変更するまでの期間と攻撃者がどれ位の頻度でパスワードを試すことができるかに関係している.また,システムのパスワード攻撃に対する対策方法にも関係している. (→ パスワード攻撃への対応)
ある種のモニタリングを仮定すれば,長期間連続的に攻撃するのは難しいと言える.実際,ログファイルが定期的にチェックされれば,攻撃に気づかれる.攻撃に気づけばパスワードを変更するなどの対策が採られ,攻撃は難しくなる. また,オンラインシステムでは,パスワード投入エラーが何回か続けば,パスワードがロックされそれ以上投入できなくなる.
Lockdown.co.ukが2009年に行った試算として,パスワードの文字数とどれ位の期間で破られるかの試算が パスワードの安全性 に示されている.
パスワードに対する安全性を抜本的に高めるには, ワンタイムパスワード を用いることが有効である.