パスワード長と解読時間の関係
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/03/01 06:18 UTC 版)
「総当たり攻撃」の記事における「パスワード長と解読時間の関係」の解説
数字0~9のみのパスワード(10ワード)6桁で100万パターン、8桁で1億パターン。アルファベットA~Z(26ワード)+数字の組み合わせ(+10ワード合計36ワード)6桁で21億7678万2336パターン、36ワード8桁で2兆8211億0990万7456パターン。アルファベット大文字小文字を区別してA~Z・a~zおよび数字の場合(62ワード)において6桁時に568億0023万5584パターン、62ワード8桁時に218兆3401億0558万4896パターンとなる。(詳細な試行パターンは、下表参照) 総当たり攻撃の全パターン試行回数使用する文字の種類1文字の場合4文字の場合6文字の場合8文字の場合10文字の場合数字のみ(0~9) 10 10,000 1,000,000 100,000,000 10,000,000,000 英字(大文字、小文字区別しない) 26 456,976 38,915,776 208,827,064,576 141,167,095,653,376 英字(大小区別しない)+数字 36 1,679,616 2,176,782,336 2,821,109,907,456 3,656,158,440,062,976 英字(大文字、小文字区別)+数字 62 14,776,336 56,800,235,584 218,340,105,584,896 839,299,365,868,340,224 英字(大小区別)+数字+記号31文字 93 74,805,201 646,990,183,449 5,595,818,096,650,401 48,388,230,717,929,320,352 英字(大小区別)+数字+記号34文字 96 84,934,656 782,757,789,696 7,213,895,789,838,336 66,483,263,599,150,104,576 独立行政法人情報処理推進機構(IPA)が2008年に行った試験によれば、パスワード解析には以下の時間が必要となる。 使用できる文字数と入力桁数によるパスワードの最大解読時間(IPA,2008)使用する文字の種類4文字の場合6文字の場合8文字の場合10文字の場合英字(大文字、小文字区別しない) 約3秒 約37分 約17日 約32年 英字(大文字、小文字区別)+数字 約2分 約5日 約50年 約20万年 英字(大文字、小文字区別有)+数字+記号 約9分 約54日 約1千年 約1千万年 上記試験に使用したパソコンはIntel Core 2 Duo T7200 2.00GHz、メモリ:3GB。パスワード解析に使ったアルゴリズムは未公開。また、ネットワーク経由でのものかどうかも不明。記号は、31文字使用可能と仮定した場合。 また、Lockdown.co.ukが2009年に行った試算によると、総当たり攻撃によるパスワードの解読時間は、次のとおりとしている。 コンピュータ性能によるパスワード解読時間の関係(Lockdown.co.uk,2009)使用する文字の種類使用できる文字の選択肢の数低速パソコン(Pentium 100MHz)高性能パソコン(当時)コンピュータ・クラスター又は、ワークステーションスーパーコンピュータ6桁の大小いずれかの英字だけのパスワード26 5分間~8.5時間 30秒 3秒 瞬間 8桁の大小英数字を含むパスワード62 7年~692年 253日 25.25日 60.5時間 8桁の大小英数字および記号を含むパスワード96 229年~2万2875年 23年 2.25年 83.5日 上記コンピュータの性能は2009年の当時。なお、日進月歩で性能が向上しているため、現在は上記より大幅に高速化されているとみられる。例えば、上記の表のスーパーコンピュータは10億回/秒の解析能力とされているが、2016年の市販GPUを一つ使用して解析すれば、その10倍以上の速度を出すことができる。また、仮想通貨の採掘業者などは数千万倍の計算能力を持っている。なお、パスワードの保管に脆弱性がある場合は、数分で突破される場合がある(例:Microsoft Windows XPと以前のバージョンにあるLMハッシュ(回避方法:レジストリに NoLMHash を設定する。))
※この「パスワード長と解読時間の関係」の解説は、「総当たり攻撃」の解説の一部です。
「パスワード長と解読時間の関係」を含む「総当たり攻撃」の記事については、「総当たり攻撃」の概要を参照ください。
- パスワード長と解読時間の関係のページへのリンク
