8文字のパスワードは安全です?

<h1>8文字のパスワードを1時間以内にどのように割ることができるか</h1>
<blockquote>これはすべて、8文字のパスワードとその固有の数の可能な文字の組み合わせに戻ります. 従来のCPUパスワードのクラッキングにより、8文字のパスワードに大文字、小文字、数字を使用してすべての反復を推測するには約92年かかります. 同じ可能な組み合わせでは、適度にアーキテクチャされたGPUクラッカーにわずか7分かかります.</blockquote>
<h2>8文字のパスワードは死んでいます</h2>
<img src=”https://i0.wp.com/tcblog.protiviti.com/wp-content/uploads/2017/09/High-Tech-Electronics.jpg?resize=1480%2C500&ssl=1″ />
パスワードは、数十年にわたってコンピューターセキュリティの最初と最後の防衛線でした. コンピューティングパワーの指数関数的な成長にもかかわらず、8つの文字パスワードは依然として多くの組織にとってセキュリティ基準です. このパスワードの長さはもはや受け入れられません. 5,000ドル未満の機器で、すべてのNT LANマネージャーバージョン1（NTLM）の大文字、小文字、および数の組み合わせを推測または「ブルート強制」を7分間で推測できます。. すべての特殊文字を含めたい場合、その数は96時間になります.
パスワードクラッキングの種類
最初にさまざまな種類のパスワード推測攻撃について議論することが重要です. パスワードクラッキングには主に2つのバリエーションがあります：ブルートフォースと辞書攻撃.
<ul>
<li>ブルートは、文字のすべての組み合わせを繰り返します. たとえば、パスワードが2文字の場合、ブルートの強制が「AA」が「AA」になると推測すると、次の強制は「AC」などになります。. すべての組み合わせが使い果たされるまで. この亀裂の方法は非常に徹底的ですが、パスワードスペースが長くなるとすぐに非効率になります.</li>
<li>辞書攻撃は、既知の単語のリストを使用し、辞書の単語をパスワードに一致させようとするそのリストを繰り返します. この記事は、ブルートの強制に焦点を当て、必要に応じて辞書攻撃についてコメントします.</li>
</ul>
パスワードクラッキングの種類の違いは重要です。これは、ほとんどの個人が辞書の単語または単語のバリエーションを含むパスワードを利用しているためです（$ UMMER2017）. 一般的な単語の使用により、攻撃者は一般に辞書攻撃を利用して、ブルートの強制を行う前に、より長いパスワードをクラックする可能性が高いため. ただし、この記事の目的のために.
パスワード業界標準は長すぎる8文字でした
パスワードのひび割れは、ジョン・ザ・リッパーとカインとアベルの時代から大きく進化しました. 中央処理ユニット（CPU）の代わりに、グラフィカル処理ユニット（GPU）の使用に効果的に要約されます. GPUは非常に迅速に簡単な計算を実行するように設計されており、パスワードを割るための完璧な導管になります. これらの簡単な計算を利用するGPUは、文字、数字、特殊文字の可能な組み合わせのリストを調べる際に指数関数的に高速です.
他の多くのセキュリティ基準とは異なり、この8文字のパスワード長「ベストプラクティス」は進化していません. さらに、それは現在のWindowsドメインに重大なセキュリティリスクをもたらします. 洗練された攻撃者にとって、それは非常に些細なことです。これは、レスポンダーや強力なGPUシステムに入れるなどのツールを使用して、有効な暗号化されたWindowsハッシュを取得することです（多くの場合数分しかかかりません）.
5kのパスワードクラッカーを構築します
非常に強力なGPUクラッカーは5,000ドル未満で構築できます. これについてはインターネットには多くのガイドがありますが、その中心には、複数のGPUを処理できるマザーボード、プロセッサー、電源、ケース、メモリを購入することができます。. 通常、これらのコンポーネントをすべて購入するだけでなく、$ 5K未満で4つの品質のGPUを購入できます. これらのコンポーネントは組み立てられ、オペレーティングシステムをインストールでき、oclhashcatと呼ばれるものはすべて物事を進めるために必要なすべてです. oclhashcatは、パスワードの割れにGPUを最適化し、GPUが毎秒数十億パスワードをテストできるようにするプログラムです。.
テスト
これはすべて、8文字のパスワードとその固有の数の可能な文字の組み合わせに戻ります. 従来のCPUパスワードのクラッキングにより、8文字のパスワードに大文字、小文字、数字を使用してすべての反復を推測するには約92年かかります. 同じ可能な組み合わせでは、適度にアーキテクチャされたGPUクラッカーにわずか7分かかります.
説明するために、Protivitiは、すべての大文字、小文字、および8文字の数字をブルートするカスタム文字マスクを使用して、ドメインコントローラーダンプから取得したNTLMV1ハッシュのランダムな匿名化されたサンプルに対してさまざまなテストを実行しました. 結果は次のとおりです。
<ul>
<li>〜35kのハッシュのうち、14％が割れた. これは、サンプルでは、パスワードの14％に8文字以下が含まれておらず、いかなる種類の特別な文字も含まれていなかったことを示しています。. この8文字の亀裂は約1時間20分かかりました.</li>
<li>同じ〜35kのハッシュが大文字、小文字、数字、特殊文字を含む8文字のマスクに対して実行された場合、パスワードの亀裂の成功率はほぼ2倍になりました。. この8文字のブルートフォースクラックは約2日かかりました.</li>
</ul>
ここでの結論は控えめにすべきではありません： この母集団の25人のユーザーのうち7人が2日以内にひび割れました. さらに、これらのクラックされたパスワードのすべてが、それぞれのパスワードポリシーに完全に準拠していたことに注意する必要があります. これらのひび割れたパスワード（約9,000）は、企業に対する独自の脆弱性を表しており、パスワードの長さの要件を増やすことでこれらのそれぞれを強化することができます.
数学
パスワードのクラックの背後にある数学は非常に簡単です. 可能な組み合わせの数を決定するために、パスワードの長さを取り、それをキャラクターマスクのパワーに掛ける. たとえば、大文字（26文字）、小文字（26文字）、および数字（10文字）を使用して、8文字のパスワードをクラックしようとしている場合. これらを一緒に追加します：26+26+10 = 62で、それをパスワード長の指数として使用します：62^8. 以下の表は、9文字（62^9）と10文字（62^10）のパスワードの大きな違いを示しています。
<img src=”https://i0.wp.com/tcblog.protiviti.com/wp-content/uploads/2017/09/1.jpg?w=1267&ssl=1″ />
150億のパスワードでさえ、8から9から10へのジャンプは重要です（5,000ドルのクラッカーで達成できます）. 特殊文字を追加した場合は、（合計94文字）を追加してみましょう。
<img src=”https://i0.wp.com/tcblog.protiviti.com/wp-content/uploads/2017/09/2-3.jpg?w=1537&ssl=1″ />
この数学は、比較的迅速にいくつかの結論に達します. パスワードを9または10文字に変更した場合、同じブルートの強制テクニックが時間内にはるかに長くなります。
<ul>
<li>大文字、小文字、および数が推測する時間は7分以上から8文字で5時間以上になり、9文字が9日間になります。</li>
<li>大文字、小文字、数字、特別なキャラクターを推測する時間は4日間で、9文字で1年以上で10文字が10年になります。</li>
</ul>
10文字になると数が劇的に増加します. このケーススタディで使用されている環境は、利益のためのハッカーと比較して低電力であったことに注意する必要があります。.
変える時
上記の結論に基づいて、単一の文字でさえパスワードの長さを増やすと、パスワードがひび割れない可能性が劇的に向上します. 2文字を追加すると、それが非常にありそうもなくなります（辞書の単語でない限り）. 長いパスフレーズ（スペースのある文 – 特殊文字を必要としない特殊文字）を利用すると、さらに難しくなります!
パスワードを入力するのに必要なこの長さと時間の変更により、組織のセキュリティ姿勢が大幅に向上します. そのため、なぜ私たち全員がパスワードの長さを再考しないのですか？?
<h2>8文字のパスワードを1時間以内にどのように割ることができるか</h2>
<img src=”https://www.techrepublic.com/wp-content/uploads/2021/05/password-security.jpg” />
グラフィックス処理テクノロジーの進歩により、ブルートフォーステクニックを使用してパスワードをクラックするのに必要な時間が大幅に発生しました、とHive Systemsは言います.
<img src=”https://www.techrepublic.com/wp-content/uploads/2021/05/password-security-770×578.jpg” alt=”パスワードセキュリティの概念” width=”770″ height=”578″ />
アフィリエイトリンクやスポンサーパートナーシップなどの方法を介して、このページに登場するベンダーによって補償される場合があります. これは私たちのサイトで彼らの製品がどのように、どこに登場するかに影響を与えるかもしれませんが、ベンダーは私たちのレビューの内容に影響を与えるために支払うことができません. 詳細については、利用規約ページをご覧ください. 
セキュリティの専門家は、当社のオンラインアカウントとデータを精通したサイバー犯罪者から保護するために、強力で複雑なパスワードを作成するようアドバイスし続けています. 「複雑」とは、通常、小文字や大文字、数字、さらには特別なシンボルを使用することを意味します. しかし、セキュリティ会社Hive Systemsの調査によると、複雑さ自体が十分な文字が含まれていない場合、パスワードを割ることができます。.
<h3>必見のセキュリティカバレッジ</h3>
<ul>
<li>2023年のビジネスのための10のベストウイルス対策ソフトウェア</li>
<li>Infobloxは、希少なおとり犬C2エクスプロイトを発見します</li>
<li>RSAでは、アカマイは偽のサイト、APIの脆弱性に焦点を当てています</li>
<li>電子データ保持ポリシー（TechRepublic Premium）</li>
</ul>
最近のレポートで説明されているように、Hiveは、攻撃者が最新のグラフィックプロセッシングテクノロジーを利用した場合、わずか39分で8文字の複雑なパスワードを割ることができることを発見しました。. 7文字の複雑なパスワードを31秒で割ることができますが、6文字以下の文字が即座にクラックされる可能性があります. 数字または小文字のみ、または数字と文字のみなど、1つまたは2つの文字タイプのみの短いパスワードは、割れて数分かかります.
プラス面では、Hiveの調査によると、より多くの文字を持つよりシンプルなパスワードは、短時間で割れに脆弱ではありません。. 数字だけの18文字のパスワードは3週間かかりますが、低セース文字を使用している同じ数の文字を持つ1つは割れて200万年かかります. このデータは、実際のがランダムな単語の長い文字列を使用するPassPhraseが複雑であるが短いパスワードよりも安全である理由を示しています.
 <img src=”https://www.techrepublic.com/wp-content/uploads/2022/03/Hive-Systems-Password-Table-1-770×346.jpg” />
複雑であるが短いパスワードを十分に迅速にクラックすることを目指しているハッカーには、最新かつ最も高度なグラフィックス処理テクノロジーが必要になります. グラフィックプロセシングユニットがより強力になればなるほど、暗号通貨のマイニングやパスワードのクラッキングなどのタスクをより速く実行できます. たとえば、今日のトップGPUの1つは、1,499ドルから始まる製品であるNvidiaのGeForce RTX 3090です。. しかし、さらに強力で安価なGPUは、比較的短い時間でわずかな長さと低い複雑さのパスワードをクラックする可能性があります.
Hiveによると、自分のコンピューターで最新かつ最高のグラフィックス処理を持っていないハッカーは、クラウドに簡単にクラウドに向かうことができます. Amazon AWSやその他のクラウドプロバイダーを介してコンピューターとグラフィックのハードウェアをレンタルすることにより、サイバークリミナルは強力なGPUの複数の仮想インスタンスを活用して、かなり低コストでパスワードクラッキングを実行することができます.
グラフィックテクノロジーの進捗により、ほとんどのタイプのパスワードは、わずか2年前よりもクラックするのに必要な時間が少なくなります. たとえば、文字、数字、記号を含む7文字のパスワードは、2020年には7分かかりますが、2022年にはわずか31秒かかります. これらのテクノロジーの進歩を考えると、どのようにあなたとあなたの組織がパスワードで保護されたアカウントとデータをよりよく保護できますか? ここにいくつかのヒントがあります.
<ul>
<li>パスワードの代わりにパスフレーズを使用します. パスフレーズは、しばしばランダムな単語の長い文字列です. パスフレーズはしばしばパスワードよりも安全ですが、通常は覚えやすいです. たとえば、「Sunset-Beach-Sand」は単語とダッシュを使用して各単語を分離し、セキュリティに従って割れて20億年かかるでしょう.組織.</li>
<li>パスワードマネージャーを使用します. 複数の複雑で長いパスワードを自分で作成して記憶することは不可能であるため、パスワードマネージャーが最善の策です. 自分自身または組織内でパスワードマネージャーを使用することにより、Webサイトやオンラインアカウントに強力なパスワードを生成、保存、適用できます。.</li>
<li>強力なマスターパスワードを使用します. パスワードマネージャーを採用する場合は、保存されたパスワードをできるだけ効果的に保護する必要があります. それを行う方法は、強力なマスターパスワードを使用することです. あなたが覚えていることができる複雑で長いパスワードまたはパスフレーズを作成する.</li>
<li>パスワードをテストします. 潜在的なパスワードの強度を測定するには、セキュリティなどのサイトに入力します.組織. サイトは、そのパスワードをクラックするのにどれくらいの時間がかかるかを教えてくれます.</li>
</ul>
<h3>サイバーセキュリティインサイダーニュースレター</h3>
最新のサイバーセキュリティのニュース、ソリューション、ベストプラクティスに遅れないようにすることにより、組織のITセキュリティ防御を強化します.
火曜日と木曜日に配達されました
公開：2022年3月7日、午前8時24分PST修正：2022年11月1日、午前11時54分
<h3>また、参照してください</h3>
<ul>
<li>ソフトウェアエンジニアになる方法：チートシート（TechRepublic）</li>
<li>チートシート：Windows10（無料のPDF）（TechRepublic）</li>
<li>雇用キット：iOS開発者（TechRepublic Premium）</li>
<li>必見のカバレッジ：プログラミング言語と開発者のキャリアリソース（FlipboardのTechRepublic）</li>
</ul>
<h2>8文字のパスワードが十分に長くない理由</h2>
<img src=”/wp-content/uploads/2018/05/banner2.png” />
パスワードは、サイバー犯罪者によるブルートフォースの攻撃に抵抗するためにユニークで複雑である必要がありますが、パスワードを推測するのにハッカーがどれくらい時間がかかるか? パスワードが十分な文字が含まれていない場合でも複雑であっても、数秒で推測できます. 
<h2>複雑なパスワードが必要な理由</h2>
パスワードが必要な場合、通常、最小数の文字を含み、最小限の複雑さの要件を満たすためにパスワードを必要とするポリシーが適用されます. それは通常、パスワードが最低8文字である必要があり、少なくとも1つの上限と低いケースの文字、数字、およびシンボルを含める必要があることを意味します.
これらの複雑さの要件を実施する非常に正当な理由があります. 最新のグラフィックプロセッシングテクノロジーは、パスワードを推測する短い作業を行っており、比較的短い複雑なパスワードでさえ、非常に短い時間で正しく推測できます。. 最新のテクノロジーを使用して、6文字のパスワードを即座にクラックすることができます。.
サイバーセキュリティ会社Hive Systemsが発行した最近のレポートによると、8文字のパスワードでさえもすぐにクラックされる可能性があります. 数字または低ケースの文字のみで構成される8文字のパスワードは即座にクラックする可能性があり、パスワードに上限と低ケースの文字の混合が含まれている場合は、正しく推測するのに約2分しかかかりません. 上記の文字と小文字に加えて数字が使用されている場合、パスワードは7分で割れてシンボルを追加すると、8文字のパスワードを推測するのにわずか39分かかります.
<h2>ハッカーがパスワードを推測するのにどれくらい時間がかかりますか?</h2>
グラフィックス処理テクノロジーの進歩を考慮した最近改訂されたテーブルでは、Hive Systemsがハッカーがパスワードをブルートするのにどれだけ時間がかかるかを示しています. テーブルは、パスワードを十分に複雑にすることの重要性だけでなく、それらが十分に長いことを保証することを明確に示しています。. 複雑なパスワードをクラックする時間の違いは、余分な文字ごとに大幅に増加します。7文字で31秒、8文字で39分、9文字で2日、10文字で5か月、11年で34年!
<img src=”https://www.netsec.news/wp-content/uploads/2022/03/how-long-to-crack-a-password-hive-systems.jpg” alt=”ハッカーがパスワードを推測するのにどれくらい時間がかかりますか” width=”800″ height=”420″ />
ハッカーがパスワードを推測するのにどれくらい時間がかかりますか – 出典：Hive Systems
これらの時間は、ハッカーが最新かつ最も強力なGPUを使用していると仮定します. これらは高価ですが、1,500ドル以上 – ハッカーは、ハードウェアをレンタルするのが簡単で比較的安価であるため、必ずしもハードウェアを購入する必要はありません. ハッカーは、たとえば、Amazon AWSを介してクラウドを使用して強力なコンピューターとグラフィックスハードウェアをレンタルでき、パスワードクラッキングに複数の仮想マシンを同時に簡単に使用できます.
<h2>パスワードマネージャーを使用して、パスワードを生成して保存します</h2>
すべてのアカウントに長く一意のパスワードを設定することに問題があります. それらは覚えておくことが事実上不可能です. 解決策は、パスワードマネージャーを使用することです. パスワードマネージャーを使用して、すべてのアカウントに対して強力でランダムで一意のパスワードを生成できます。これらのパスワードは、ユーザーのパスワード保管庫に暗号化および保存されます. それらは必要なときはいつでも自動充填され、パスワードを覚えておく必要はありません. 必要なのは、ユーザーのパスワード保管庫の1つの強力なパスワードだけです.
そのパスワードを思い出深いものにするための最良のオプションは、長いパスフレーズを構成することです. そのPassPhraseが15文字で、上限と低ケースの文字、数字、およびシンボルが含まれている場合、ハッカーが推測するのに10億年かかります.
著者： Netsecエディター
<h2>このチャートは、正確なパスワードをハッキングするのにコンピューターがどれだけ時間がかかるかを示しています</h2>
<img src=”https://assets.weforum.org/article/image/responsive_big_A3z3X3ySVK-UqHXSvCbRqxDar0KHfT21pnif-HKUiEE.jpg” alt=”キーボードで入力している人の写真。” />
サイバーセキュリティに関する世界経済フォーラムは何をしていますか?
<h5>このトピックに関する更新をお見逃しなく</h5>
無料のアカウントを作成し、最新の出版物と分析でパーソナライズされたコンテンツコレクションにアクセスします.
無料でお申し込み頂けます
ライセンスと再発行
世界経済フォーラムの記事は、クリエイティブコモンズの帰属ノンコマーシャルノーダイブに従って再発行される場合があります4.0国際公開ライセンス、および当社の利用規約に従って.
この記事で表明されている見解は、著者だけでなく、世界経済フォーラムではありません.
<h2>2020年、8文字のパスワードは十分に良いです?</h2>
<img src=”https://media.licdn.com/dms/image/C5612AQFVLh4_IQUgYg/article-cover_image-shrink_720_1280/0/1607599560675?e=2147483647&v=beta&t=8IiEfrOssVq_LVrCPi0EONC454JKkyJI_1qChi67Z8Y” alt=”2020年には、8文字のパスワードで十分ですか？” />
最近、2020年には「銀行から推奨される」8文字の大文字、小文字、数字、特別なキャラクターのパスワードがまだ適切かどうかを尋ねられました。.
たとえば、パスワード： d）4m*l＆k 典型的な「良い」8文字のパスワードのすべての要件を満たしていますが、大まかな一見を覚えておくのも簡単ではありません.
ここでセキュリティでパスワード強度ツールを確認します.org“ https：// www.安全.org/ how-secure-is-my-password/それは8時間で標準のコンピューターによって壊れていることを示しています. 理想的ではありません!
の長さを増やします d）4m*l＆kd％x71@zw 16文字で理想的で、コンピューターがクラックするのにはるかに受け入れられる「1兆年」が必要です. しかし、どのようにそれを覚えていますか?
良いパスワードの中心には2つのことがあります。
<ol>
<li>覚えやすい</li>
<li>復号化するのは難しい</li>
</ol>
肩越しに見ている人や、キーボードの下のポストイットメモで走り書きされたパスワードを見つける人が偶然視してください。.
コンピューターの機能は膨大な速度であり、さまざまなデータセットを参照して、たくさんの組み合わせを迅速に、無意識の、効率的に「破壊」することができます. コンピューティングの観点から一般的に採用されているハッカー方法：
辞書攻撃：オックスフォード辞書によると、英語辞書には60万語以上、過去と現在があります. 辞書攻撃は、パスワードエントリポイントで「辞書」とバリアントを破壊します. 最新のコンピューターでは、迅速です.
ブルートフォース攻撃： 名前が示すように、ブルートフォースは、系統的で論理的な手段によってパスワードを決定するために使用されますが、容赦ないボリュームと速度で. ありふれた例として、私の10歳の娘は、彼女の光沢のある新しいスーツケースのロックコードを思い出せませんでした。. 単純なブルートフォースの攻撃により、すべての変数を順番に試してみて、文字通り000、001、002、003にダイヤルしました。. 彼女のロック解除コードはあいまいでした – 良い! – 番号341. ブルートフォーステーブルの興味深いのは、特定のアルゴリズムと人間のバイアスに関する既知のデータを使用してそれらが入力されていることです. まともなブルートフォーステーブルには、ここからのバリエーションが含まれますhttps：// en.ウィキペディア.org/wiki/list_of_the_most_common_passwords – データセットの初期にプログラム. これらのいずれも使用しないでください.
同様に、あなたが「コーラコラ」のような大きなブランドをターゲットにしているハッカーの場合、あなたのブルートフォーステーブルには、業界固有の用語の偏ったバリアントとL33Tキャラクターなどのミキシングなどが含まれます。. e.g. コークコーラ、C0K3 C0L4、コケコラ、コケゼロ、コケフリー、コケディエット、ペプシキラー、コケペプシコ、ペプシコソスなど. これらの単語は辞書にはありませんが、それらを利用するために考えられる人間の偏ったバリアントです. 優れたブルートフォーステーブルは、これらの人間の偏ったエントリの組み込みを試みます.
レインボーテーブル：ブルートフォーステーブルと同様に、レインボーテーブルは既に計算されたパスワードセットを備えたものですが、これらは異なるアルゴリズムまたは「ハッシュ」に基づいており、パスワードを暗号化するために使用され、アルゴリズムが作成した特殊文字とデータセットを含みます。. レインボーテーブルのあることは、それらは大きくて複雑ですが、ハッカーが時間を持っている場合、彼らは入ることができます.
だから、前提に戻るのは8文字です?
最新のコンピューターは、辞書、ブルートフォース、虹の攻撃を迅速かつ効率的に行うことができます。つまり、謙虚な8キャラクターは乾杯しています. この点を説明するために、例7と16を除いて、シンプルで簡単に覚えやすい用語を使用して、パスワードの長さが増加するにつれて、復号化する時間が増加することがわかります。.
<ol>
<li>ランダムな大まかな視線を最小限に抑え、迅速なリコールを思いとどまらせるには、パスワードの複雑さが必要です</li>
<li>長さは本当に重要です – 12文字は良いです、14は素晴らしいです、16は最高です.</li>
</ol>
8文字がかなり良いのと同様に、それほど前ではありませんが、上記のことは量子コンピューティングです. 64文字のパスワードが標準と見なされる場所を楽しみにしていません.
参考文献：
alphr – トップ10のパスワードクラッキングテクニック
ノートン – パスワードを保護する方法
アバスト – 強力なパスワードのアイデア
マカフィー – パスワードセキュリティを改善するための15のヒント
CNET – 強力なパスワードの9つのルールログイン資格情報を作成して記憶する方法
フォーブス – パスワードのセキュリティについて知っておくべき4つのこと