パスワードも沢山管理していると変更も段々面倒になってきます。
そんな中、米ブログで「強制的なパスワード変更は考え直すときだ」とされる論文が発表されました。それじゃ、パスワードの定期変更を促してきたメーカーの立場は?パスワード変更無駄なの?と思ってしまいます。
個人的には無駄とは思いませんが、パソコンの性能や解析ソフトが進化していけば、簡単なパスワードは解かれるのは時間の問題でしょう。
では本題です
現在、無償で利用できるパスワードチェッカーで組み合わせを調べて見ました。
パスワードチェッカーは目安で使用
2つの無償サイトで比較していますが、パスワードはテスト用として「T_e;/:st」でテストしています。
マイクロソフト
パスワードチェッカー
https://www.microsoft.com/ja-jp/security/pc-security/password-checker.aspx
カスペルスキー
パスワードチェッカー
https://kasperskylabs.jp/ubi/wd/pwdchk/
マイクロソフトの方は有名どころで、パスワードのベストな組み合わせなども説明されている為、初心者でなくても使いやすい所でしょうか。また、パスワード強度判定を行った後、数秒後自動的にクリアされるのも良心的と言えます。
一方、カスペルスキーの方はどの程度で入力したパスワードが解かれてしまうか説明されており、面白いつくりになっています。画像では入力した文字が見えていますが、「*」を押すと文字が伏字になります。
同じパスワードを入力テストして、マイクロソフト側は「普通」、カスペルスキー側は2世紀・・・ほとんどあてになりませんが、判定の目安にはなると思います。
参考リンク
・「パスワードの強制定期変更」は時代遅れ、企業に再考促す(IT Proより)
・コンピュータウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について(IPA 独立行政法人 情報処理推進機構より)(表:1-1参照)
まとめ
やはり8桁以上文字区別有がベストか
IPA独立行政法人 情報処理推進機構のサイト情報によると、8桁以上で英字(大文字、小文字区別有)+数字がベストな組み合わせと紹介されています。
もっともこれは目安であって、パソコンの性能が進化する事で年々変わっていくのは当然かと思います。
また、8桁以上を推奨されても、サイトによっては桁数に制限がある所もありますし、記号が使えないサイトも存在します。
ネットバンクならともかく、あまり変更に敏感にならなくても良いかも知れません。
ただし、ご自身の誕生日や「12345678」などは論外です。この辺に気を付ければ問題ないと思っています。後は決めたパスワードをしっかり管理する事だと思います。