パスワードの数学（のようなもの）メモ

◆パスワードの数学（というレベルのものではない）メモ
‥大げさな見出しだな。
非常に論点の見えにくいメモ。
このあたり非常にうるさい有識者がいるわけだが、こんなところに突っ込んでくるわけはなかろうと思い、適当に書き散らす。

◆いわゆるパスワードの原理的なもの
数字1桁のパスワード（！）があったとする。この場合あたりまえだが10通りある。でたらめに試して当たる確率は0.1、短時間に10回試せば確実にヒットする。短時間にというのは、ゆっくり試していると、やっている最中にパスワード自体が変化する可能性もあるので。
1回目に当たる確率は1/10、2回目に当たる確率は（9/10）x（1/9）＝1/10、以下同じ。
ここで、3回試行して外したらアカウント凍結、という仕様にすると、3/10の確率で破られる計算。
1 / （要素のとりえる場合の数） x 試行回数　ということになる。
===
数字2桁の場合で、試行回数3回だと、同様に1 / 100 x 3、
数字英文字（大小）交じりで6桁だと、1文字で （10 + 26 x 2） = 62通りの場合の数となるので、62**6＝568億通り。試行回数10回でもそう簡単に破られる気はしない。
仮に、大文字NGとすると、（10 + 26 ） = 36通り、36**6 = 22億通り
逆に記号を#$%&!@+*-?と10増やすとすると72**6=1393億。
試行回数3回程度だったら楽勝でOK。

◆パスワード強度チエツカーの嘘
世間で出回っている（？）チェック、「記号を入れてますか？」「大文字小文字を混ぜてますか」「同じ数を連続して使っていませんか」は、あーそれは危ないかも、と思わせといて、実はあまり関係ないことにうすうす気が付く。桁を1桁増やしたらいいだけ。
英数小文字で6桁＝22億通り、7桁だと784億となって英数大小文字6桁を上回る。
タブーな組み合わせ（*後述）を選ばなければ、英数小文字8桁、試行10回アウトで2821億通りと、まーったく破られる気がしない。

◆ただし問題は‥
(1) いくらでも試行できるなら（たとえばファイルにかけられたパスワードをオフラインで解く）この程度ではだめ。カスペルスキーさんいわく英数小文字8桁程度だったら12日程度で破られるとのこと。あーでも10桁だと2年になるな。
そうはいっても12桁くらいにしとけば当分大丈夫じゃなかろうか。
https://password.kaspersky.com/jp/

(2) タブーな組み合わせを選ぶと辞書攻撃でアウト。qwertyuiみたいなの。あるいは、まさかとは思うが20190501みたいなの。
この「選んではいけない文字列」を論ずるのが実は結構難しくて、ある人にとって安全でもある人にとっては危険だったりする。
一般論として年月っぽいのはダメ、とか、キーボード配列っぽいのはダメとかポピュラーなのはわかりやすいが、以下はどうだろうか
(A) 98B03445
(B) pandakawaii98
普通の人はOKだが（A)は実は学籍番号、(B)のtwitterのprofileにはパンダの写真が貼ってあり、パンダかわいい！と書いてあって、生まれが1998年。
あるある。

タグ：パスワード セキュリティ password quarty