ハッカーが私のパスワードを解読するのにどれくらいの時間がかかりますか?

ノルドパス

パスワードを解読するにはどれくらい時間がかかりますか?

Hive は、2024 年の Hive Systems パスワード テーブル レポートで、攻撃者が最上位の 12 x RTX 4090 グラフィック カードを使用した場合、数字、記号、大文字と小文字の両方を含む複雑な 8 文字のパスワードを解読するには 7 年かかることを発見しました。

比較すると、大文字と小文字のみの5文字のパスワードは2分で解読可能です。さらにHive社によると、小文字のみの4文字のパスワードは瞬時にハッキングされる一方、大文字と小文字の両方を含む5文字のパスワードは3秒でハッキングされる可能性があるとのことです。

これは、可能な限り文字、記号、数字を組み合わせるなど、パスワードのベストプラクティスを適用することがいかに重要であるかを示していると私は考えています。パスワードの複雑さによって解読に要する時間に大きな差があることを考えると、特に重要です。

プラス面としては、Hiveの調査によると、文字数が多くても単純なパスワードは、短期間で解読される可能性が低いことが挙げられます。例えば、数字のみで構成された10文字のパスワードは、解読に1時間かかります。一方、数字のみのパスワードを18文字に増やすと、解読時間は11,000年にまで延長されます。

単語と数字を比較すると、Hiveのデータによると、パスフレーズは従来のパスワードよりも優れていることが示されています。18文字の数字だけのパスワードを解読するには11,000年かかりますが、同じ文字数の小文字を使ったパスワードを解読するには3,500億年かかります。このデータは、ランダムな単語を長く並べたパスフレーズが、複雑だが短いパスワードよりも安全である理由を示しています。

Hive のレポートによると、18 文字の大文字と小文字、数字、記号を組み合わせたパスフレーズは、ブルートフォース攻撃が最も困難です。

ハッカーはパスワードを解読するためにどのようなツールを使用するのでしょうか?

複雑でありながら短いパスワードを素早く解読しようとするハッカーには、最新かつ最先端のグラフィック処理技術が必要です。グラフィック処理ユニットの性能が高ければ高いほど、暗号通貨のマイニングやパスワードの解読といったタスクを高速に実行できます。

これらのGPUを利用することで、ハッカーはブルートフォース攻撃を仕掛け、パスワードクラッキングソフトウェアを使ってパスワードやその他の認証情報を推測することができます。ブルートフォース攻撃では、GPUと機械による試行錯誤を繰り返し、文字、数字、記号の正しい組み合わせを見つけ出し、最終的にユーザーのパスワードを解読します。

例えば、現在最も売れているGPUの一つにNVIDIAのGeForce RTX 4090があり、価格は1,599ドルからとなっています。しかし、それほど高性能で安価なGPUでも、短くて複雑度の低いパスワードであれば、比較的短時間で解読可能です。

Hiveによると、最新かつ最高のグラフィック処理能力を備えたコンピュータを搭載していないハッカーは、簡単にクラウドに頼ることができるという。Amazon AWSなどのクラウドプロバイダーを通じてコン​​ピュータとグラフィックハードウェアをレンタルすることで、サイバー犯罪者は強力なGPUの複数の仮想インスタンスにアクセスし、比較的低コストでパスワードクラッキングを実行できる。

さらに、AIの進歩により、ハッカーはより迅速かつ効率的にパスワードを解読するための新たなツールを手に入れました。Home Security Heroesが2023年4月に発表した、1,560万件の一般的なパスワードを分析したレポートでは、AIを用いることで、ハッカーは1か月以内に81%、1日以内に71%、1時間以内に65%、1分以内に51%のパスワードを解読できることが明らかになりました。

参照: Linux のセキュリティ保護ポリシー (TechRepublic Premium)

パスワードクラッキングから自分自身と組織を守る方法

グラフィックスとAI技術の進歩により、ほとんどの種類のパスワードは、わずか2年前と比べて解読時間が短縮されています。例えば、文字、数字、記号を含む7文字のパスワードは、2020年には7分かかっていましたが、2023年にはわずか4秒で解読されます。こうした技術の進歩を踏まえ、パスワードで保護されたアカウントとデータを、あなたやあなたの組織はどのようにより安全に保護できるでしょうか？以下にいくつかのヒントをご紹介します。

パスワードの代わりにパスフレーズを使ってみてください

パスフレーズとは、多くの場合ランダムな単語を並べた長い文字列です。パスフレーズはパスワードよりも安全で、覚えやすい場合が多いです。例えば、「Sunset-cola-Mouse!」や「GatePen2BoxerRose」などが挙げられます。

パスフレーズを使用する場合は、覚えておくべきことがいくつかあります。

• 少なくとも 10 〜 15 文字以上であることを確認してください。
• 一般的なフレーズや歌詞の使用は避けてください。
• 覚えやすいパスフレーズを選択してください。
• フレーズに数字や記号を追加します。

より詳しいチュートリアルについては、「パスフレーズとは何ですか?」ガイドをご覧ください。

数字、記号、大文字、小文字を同時に組み合わせて使用​​します

Hive Systemsのレポートから得られる主なポイントの一つは、パスワードの複雑さがパスワード全体の強度に大きな影響を与えるということです。ここで言う複雑さとは、パスワードに含まれる文字（大文字と小文字）、記号、数字の出現頻度を指します。

パスワードの安全性は 1 つの文字タイプだけを使用すると高まりますが、すべての文字タイプを組み合わせると、最大のメリットとセキュリティが得られます。

パスワードマネージャーを使用する

複雑で長いパスワードを複数自分で作成し、記憶するのは不可能なので、パスワードマネージャーが最善の選択肢です。自分自身または組織内でパスワードマネージャーを使用することで、ウェブサイトやオンラインアカウントに強力なパスワードを生成、保存、適用できます。

試してみるべきパスワードマネージャー

1パスワード

洗練されたユーザーインターフェースを備えたパスワードマネージャーをお探しなら、1Password をお勧めします。1Password は直感的でデザイン性に優れたデスクトップアプリケーションで、初心者から上級者まで、誰でも簡単にパスワードを管理できます。

さらに、1Passwordの基本プランには、Watchtowerデータ侵害スキャナーや安全なパスワード共有・履歴機能など、様々な追加セキュリティ機能が含まれています。また、第三者機関による独立した監査を受けており、ノーログポリシーに定められた通り、ユーザー情報を一切記録しないことが保証されています。

詳細については、1Password の完全なレビューをご覧ください。

ビットワーデン

プライバシー重視の方には、Bitwarden がおすすめです。オープンソースのパスワードマネージャーで、ソースコードが公開されており、レビューが可能です。つまり、顧客や関係者は Bitwarden のコードを確認し、脆弱性を自ら発見できるということです。これは、パスワードを扱うサービスにとって極めて重要な透明性の確保につながります。また、市場で最も充実した無料プランの一つで、無料ユーザーは無制限の数のパスワードを無制限に保存でき、接続できるデバイス数も無制限です。

詳細については、Bitwarden の完全なレビューをご覧ください。

キーパー

よりビジネスに特化したパスワードマネージャーをお探しなら、Keeperをご検討ください。ビジネスプランでは、管理コンソール、チーム管理機能、ポリシーエンジンと適用機能を通じて、チームの認証情報を管理できます。エンタープライズプランでは、ADとLDAPの同期やSAML 2.0認証など、チーム関連の機能がさらに充実しています。特にKeeperの組み込みフォルダとサブフォルダシステムは気に入っています。これにより、チームやアカウント間でログイン認証情報をよりスムーズに管理できます。

詳細については、Keeper の完全なレビューをご覧ください。

この記事はもともと2023年8月に公開されました。2025年1月にLuis Millaresによって更新されました。