パスワードの長さと解読時間の関係性、実践的なパスワード文字列

私たちがインターネット上で使用するパスワードの強度と設定基準の考え方について、参考になる情報を収集しました。最初に、パスワードがシンプルであるということが具体的にどの程度のクラッキング時間に該当するのかを示し、これを踏まえてGoogleのガイドラインとセキュリティ専門家の見解を後述しています。

【パスワード長と解読時間の関係】
Lockdown.co.ukが2009年に行った試算によると、総当たり攻撃によるパスワードの解読時間は、次のとおりとしている。
http://www.lockdown.co.uk/?pg=combi&s=articles

・8文字の大小英数字および記号を含むパスワード
→高性能パーソナルコンピューターで23年間
→コンピュータ・クラスターで2.25年間
→スーパーコンピューターで83.5日
・8文字の大小英数字を含むパスワード
→高性能パーソナルコンピューターで253日間
→コンピュータ・クラスターで25.25日間
→スーパーコンピューターで60.5時間
・6文字の大小いずれかの英字だけのパスワード
→Pentium 100MHzのPCで5分間〜8.5時間

【Googleのパスワードガイドライン】
・メールやオンライン バンキングなどの重要なアカウントにはすべて固有のパスワードを使用する
・パスワードは簡単に見つからない秘密の場所に保管する
・数字、文字、記号で構成された長いパスワードを使用する
・自分だけが知っている語句を使うようにする

※「My friend Tom sends me a funny email once a day」という文を考案し、その文から数字と文字の配列を作って使います。たとえば「MfTsmafe1ad」

【安全性と使いやすさを兼ね備えたパスワードの作り方】
過去12年に渡り、大企業における盗用や詐欺、組織犯罪、企業スパイといった事例の調査に関わり、監視、コンピューター法科学、倫理的ハッキングなどについての著書もあるセキュリティのエキスパート、Brandon Gregg氏のアドバイスを参考に考察しました。
http://www.lifehacker.jp/2012/10/121019password.html

・「脆弱なパスワード」の3パターンを避ける
→簡単に推測／破ることができるパスワード
→忘れやすいパスワード
→多くのサイトで共通して使っているパスワード
・シンプルな英数字だけではパスワード無の状態とあまり変わりはない
・大文字と小文字、1つ以上の数字や記号を組み合わせた8文字以上のパスワードはまあまあ安全
・1つの複雑な基本パスワード＋サイト別の要素はかなり安全
・2段階認証＋自分すら知らないパスワードは非常に安全

※2要素認証により加えられるセキュリティーのレイヤーを、他者が通り抜けるのはほぼ不可能です。「普通の」パスワードを入力したあとで、さらにGoogleなどのサイト側からユーザーの携帯電話に送られてきたテキストメッセージを使うからです。ハッカーにとって（携帯電話に『FlexiSPY』のようなモニターツールがインストールされていない限り）他人の携帯電話を見るというのは難しいことです。さらにこの方法は、攻撃を受けた際の警告にもなります。もし、午前2時に突然認証コードが携帯電話に送られてきたとしたら、それは以前に付き合っていたガールフレンドが、あなたのアカウントを開こうとしているサインかもしれません。