パスワードの長さについて

Add Headings and they will appear in your table of contents.

パスワードについては、ここ10年くらい「英(大小)・数字・記号を組み合わせて8桁以上、かつ3ヶ月に一度変更」と言われてきました。
IPA(情報処理推進機構)が2011年に提唱して以来、一般的にそのように考えられてきました。

しかし、情報に対する攻撃技術は年々進歩しています。
PWを総当り攻撃する場合、2008年ごろだと「英(大小)+数+記号で8桁」ならば約1000年かかると計算されていた(出典:IPA)のですが、マシンの高速化が進み、現在では2日で破られると計算されます。(秒間300億アタックと計算。鍵空間は文字種の桁数ベキ乗=>英(大小)数記号=(52+10+32)^桁数

また「定期的なパスワードの変更」というルールだと、単純なパスワードを使いがちだったり、推測されやすいという問題があることがわかってきました。

例えば、尼崎市USB紛失事件では、市が「英数13ケタのパスワードを年1回更新している」と発表したのですが、ネット民は「あぁ、”amagasaki2022”なんだね。年1回更新とか言っちゃダメだよww」と騒ぎになりました。

こうした背景でパスワードの長さについての推奨が変わってきました。
IPAは、「できるだけ長く」「複雑で」「使い回さない」ことを奨めています。
具体的な基準としては、各セキュリティ機関で次のように推奨見解を出しています。

●IPA (情報処理推進機構)    :10桁以上、英(大小)数字+記号の混合
                                                      かつ、複数サイトで使いまわさない
●内閣サイバーセキュリティセンター:10桁以上、英(大小)数字+記号の混合
●JPCERT/CC                               :12桁以上、英(大小)数字+記号の混合

かつ、
「自分・家族の誕生日・電話番号など、自分に係る文字列・数字を使わない」
意味のある文字列を使わない」
頻繁に使われている文字列は使わない」
  例:1qaz2wsx ←打ってみれば使いやすいPWとわかるでしょ?(^_-)-☆
などを守りましょう。

とはいえ、10ケタの複雑なパスワードを覚えるのは大変です。
そこで、
●攻撃者の手に渡り解析の時間を与えてしまうリスクの高い
 メールの添付ファイルや媒体で郵送するファイルは、10桁
●施錠管理し、他人に触らせることのないPCや端末のパスワードは、8桁
とメリハリをつけても良いでしょう。

pw強度.xlsx