パスワードの数学（のようなもの）２

ここいら、何の意味があってグダグダとチラシの裏のメモを書いているかというと、巷間述べられているパスワードの議論にどうも納得がいかないから。
住民税と同じ。
住民税といえば、ITサイトの代表格であるInternetWatchも記事にしていた。
https://internet.watch.impress.co.jp/docs/special/1129773.html
ロジックの複雑性が論理屋のハートをつかむ（わらい）のだろうか。

◆属性を引きずるパスワード
前回の例で、
Pandakawaii98
これは文字13、数字交じりなので、単純に文字数の掛け算では36**3ととんでもない場合の数となる。
総当たり攻撃ではまず破られない、が、カスペルスキーさんは一応「よく使われる文字組み合わせがあります」と警告し、家庭用PCで2年で解析可能と言ってくれる。少なくとも総当たり方式ではまずムリ。辞書方式兼用、すなわち「パスワードによく使われますよ」辞書にあるというので、2年に縮まる。まあpandaもkawaiiもありそう。
ところがtwitterの自己紹介にパンダの写真があって、かわいい！とか書いてあって、年齢をうかがわせる記事があったりするといきなり「あてずっぽう」の世界に突入する。
っまり、さらなる弱化要因として、属性がパスワードの類推に役立ってくる。

◆言葉はランダムな文字ではなく
pandaもkawaiiも日本語の単語であり、日本語の辞書に載っている。
ここで10000の単語のある辞書を考える。ここから2つ選んでパスワードを作るとき、10000**2 = 1億通り。文字数が何文字でも、こういうアタックをされると「でたらめ英数字5文字」より若干強い程度。何文字の辞書を想定しているかは知らないが、オフラインで攻撃されたら5日だとカスペルスキーさんはおっしゃっている。
では3単語では？10000**3 だと「でたらめ英数字8文字」よりは弱い。これは意外と弱い印象。ただいずれにせよ、試行10回でアカウント一時ロックという仕様を絡め、個人の属性に関係なければ十分に強い。
ここがポイント。個人属性に絡んでいないこと。

◆オンラインの場合‥つまり試行回数の限度を超えるとアカウントロック
自己紹介とか、生年月日とか、生年月日とか、mailとか、そういうのに絡んでいなければ、試行3回でアカウントロック付のランダム英数5文字程度で本来的には十分ではなかろうか（暴論か？）。
よく、某銀行とか、某航空会社で、数字4桁のパスワードが非難を浴びるが、試行3回でアカウントロックだとすると、属性を引きずっていない数字ならまあまず破られることはなさそう。ただし条件があって、

1. アカウントロック解除はそれなりの厳重性がある仕組みであること
2. 数字を決め打ちにして多数のユーザーを攻撃する「数字を一つ思い浮かべろ」方式には直ちに運用側に警告が上がるような仕組みになっていること
3. 運用側が暗号化済パスワードを漏らさないこと。これが一番危ない
4. 通信回線が安全であること

運用側が信用できない今日、どうでもいいサービスならランダムな（英小文字＋数字）8文字、お金に関係するサービスなら、同、10文字というのはいい妥協点かもしれない。
記号や大文字を入れるくらいなら文字数を増やす。
中にはどうしても大文字入れろとか記号入れろとかうるさいサイトもあるにはあるが。
これはあとで。

タグ：パスワード password