8桁パスワードより7桁にしたほうが安全？という件について

辻 伸弘 (nobuhiro tsuji) @ntsuji

8桁パスワードより7桁パスワードのほうがはるかに安全というのはどういうことなんでしょうか。この話はWebサービスに対するオンラインクラックのことをおっしゃっていると推測されるのですがどのような攻撃手法を想定しているのでしょう。（続く

辻 伸弘 (nobuhiro tsuji) @ntsuji

続き）総当り攻撃だとすると8桁も7桁も現実的には突破することは相当難しい確率になると考えられますし、多くの場合リスクがを高める要素であると主張されているアカウントロックに阻まれることになります。（続く

辻 伸弘 (nobuhiro tsuji) @ntsuji

続き）辞書攻撃やそのリバース型攻撃だととすると文字数に関係なくよく使わそうな文字列を試行しますのであまり文字数は関係ないのではないかと。しいて言うと「password」やそれを変化させた「Password」「passw0rd」といった8文字を使ってくるかなくらいでしょうか（続く

辻 伸弘 (nobuhiro tsuji) @ntsuji

続き）しかし、これは桁数に起因する問題ではなく、使用している文字列の問題だと思います。辞書攻撃に関しては使われそうな文字列ということを考えるとリスクと桁数はあまり関係ないように思います。（続く

辻 伸弘 (nobuhiro tsuji) @ntsuji

続き）例えば、数字のみのパスワードしか設定できず、8桁以上のパスワードを[推奨]しているサイトに弱いパスワードを3回試すことができるという条件であれば「123456」「1235678」「123456789」か「123456」「12345」「1234」を試すかな。と思います。（続く

辻 伸弘 (nobuhiro tsuji) @ntsuji

続き）「123456」を起点にして桁数を増やすパターンと減らすパターンの理由は2013年にSplashDataが発表した脆弱なパスワードランキングの1位だからです。(SplashDataの発表資料: splashdata.com/press/worstpas… )（続く

辻 伸弘 (nobuhiro tsuji) @ntsuji

続き）先ほどのは8桁以上のパスワードを[推奨]している場合。次に8桁以上に[強制]している場合です。この場合は減らすパターンができないので「12345678」123456789「1234567890」or「0123456789」とかを試すかも。かも。というのは結局のところ（続く

辻 伸弘 (nobuhiro tsuji) @ntsuji

続き）攻撃者の勘や気分に依存する部分があると思うからです。世の中で設定されているパスワードが8桁が圧倒的（9割以上とか）に多いというデータがあるのであれば8桁を試してくるかもね。くらいは言えると思うのですがそれほどのデータもないと思うんですよね。（続く

辻 伸弘 (nobuhiro tsuji) @ntsuji

続き）また、仮に「8桁危ない！7桁や9桁のほうが安全！」となり桁数を変更して7桁、9桁を設定する人が増えたらそっちが狙われるとうイタチごっこです。そういう流動的な強度や攻撃者によって攻撃の仕方も変わってくるという曖昧なところに依存する対策をボクはあまりお勧めはできません。（続く

辻 伸弘 (nobuhiro tsuji) @ntsuji

続き）8桁以上だと設定ができるシステムだと「password」とか「12345678」が8文字で覚えやすくていいかもしれないけど、辞書攻撃に対してめっちゃ弱いから設定しないようにしようね。なら分かるのですが（続く

辻 伸弘 (nobuhiro tsuji) @ntsuji

続き）7桁ほうが安全なんだ！というのはやはりどう考えても腑に落ちないですね。きっと桁数だけでははかれないものだということが大きな要因かもしれませんね。（続く

辻 伸弘 (nobuhiro tsuji) @ntsuji

続き）いずれにせよ、桁数で安全を求めるのではなく、複雑なパスワードを複数のサービスで使い回ししないということで安全と安心は手に入れるしかない。という状況だと思います。（二要素などの利用できるサービスが限定的なものは除く）（続く

辻 伸弘 (nobuhiro tsuji) @ntsuji

続き）それを面倒と感じる方が大勢いらっしゃるのはもちろん理解しているのですが… できるだけ現状を踏まえた上での有効で確実性の高い対策と方法を多くの方に伝え、実施していただくようにしないといけないなって改めて思いました。（終り