定期的にパスワードを変える効果は意外に少ない

Pocket

3か月毎にパスワードを変えるシステムをよく見かけます。
これに関して、次のような記事がありました。

続パスワードの定期変更は神話なのか - ockeghem(徳丸浩)の日記

私なりにまとめると次の通りです。

総当たりでパスワードを破る場合、文字列の全パターンを試行するのに1年かかるとする。
1年より短い、3か月毎にパスワードを変えれば破られにくい。これが定期的にパスワードを変える理屈。
しかし、これは「(パスワードを変えない場合)1年で破られる確率は100%」と言っているに過ぎない。365日目までに破られることは確実だが、1日目で破られることもある。
パスワードを3か月で変える場合「3か月で破られる確率は1/4」である。
逆に言えば「3か月で破られない確率は3/4」であり、1年間ではこれを4回連続で耐え抜くとすると「1年で破られない確率は81/256」である。
このとき「1年で破られる確率は175/256」であり、実に68%の確率で破られてしまう。

つまり定期的にパスワードを変える効果は意外に少ないということです。
単純に考えると数字と英字(大小文字)で62個。この組み合わせでパスワードを作る場合、1桁増やせば総当たりにかかる時間は62倍に増えます。
8桁の場合、記号10個を加え、使える文字を62個から72個に増やすと、総当たりにかかる時間は3.5倍に増えます。

3か月毎に変える意味があるとすれば「もし破られてしまったときに悪用される期間が最大で3か月だけ」ということです。

[ 2011年2月3日 | カテゴリー: デジタル | タグ: , ]

« | »

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

送信してください。


タグ

カテゴリー

最近の投稿

最近のコメント

固定ページ

アーカイブ

stabucky

写真

メタ情報