パスワードを強引に解読する手法の一つに「ブルートフォースアタック(総当たり攻撃)」という攻撃方法があります。例えば自転車のチェーン式ロックなどによく使われるダイアル錠の場合、0000→0001→0002…と順番に試していけば9999にいくまでのどこかで解除ができます。4桁ぐらいでしたら、おそらく数時間程度で開錠できるのではないでしょうか。
■暗証番号4桁を忘れたロッカーに総当たりでロック解錠作業すると何時間かかるか?という検証結果(1万通りを手作業)http://www.kosodatedou.com/%E3%83%AA%E3%82%A2%E3%83%AB%E3%81%A7%E3%81%86%E3%81%BE%E3%81%8F%E7%94%9F%E3%81%8D%E6%8A%9C%E3%81%8D%E3%81%9F%E3%81%84/locker-key/
ただしパソコンやスマートフォンで使われるパスワードは、数字以外にアルファベット(大文字・小文字)、記号も使われるため通常96文字からの組み合わせになり、また桁数ももっと長いものが使われるので、攻略の難易度はもっとあがります。しかし単純作業の繰り返しはコンピュータが最も得意とする作業です。そのため昔からパスワードにはある程度以上の桁数を使うことが勧められてきました。
それではブルートフォースアタックを前提とした場合の、求められるパスワードの具体的な桁数はどの程度なのでしょうか。
10年前の常識だと最低でも8桁程度が望ましいとされていましたが、ここ数年では10桁以上といわれるようになっています。8桁の根拠としては、2010年当時のスパコンを使っても解析には80日ぐらいというのがあったからですが、10年後の現在のスパコンを基準にすると、8桁程度だと解析にかかる時間は”数時間”になります。
■パスワード強度の新常識とは? ~8文字(8桁)のパスワードは今では危険
https://keepmealive.jp/8letters-danger/
パスワードの桁数はある程度を超えると、例えば10,11,12…と1桁あがるだけで、要求される試行数は倍々どころではなく、100倍10000倍と一気にあがるようになり、解析時間も万年・億年単位で増加していきます。
しかしコンピュータの性能向上により、解析能力も日々更新していっています。そのため2020年代の技術基準を前提でシミュレートすると、ブルートフォースアタックに耐えうるパスワードは14桁以上が必要なのではという回答があります。
この詳細は次回の後編で解説します。
■データ復旧と暗号化
https://www.rescue-center.jp/encryption/
■パスワードの管理
https://www.rescue-center.jp/elementary/vol36.html
■データバックアップ入門
https://www.rescue-center.jp/primer/
■データ保護のススメ
https://www.rescue-center.jp/campaign/
■データ復旧事例 > PC/ハードディスク(HDD)
https://www.rescue-center.jp/case/hdd.html
■データ復旧事例 > USBメモリ(フラッシュメモリ)
https://www.rescue-center.jp/case/usb.html