こんにちは!WEBチームのKMです。
日々コードと向き合うエンジニアですが、開発だけでなくサイトの運用・保守も大切な業務の一つです。
そして、その現場で避けて通れないのが アカウントとパスワードの管理。
仕事用・私生活用を含めると、誰もがさまざまなサービスを利用しているはずです。
そのパスワードをどう設定していますか?
「長いパスワードを使いましょう」「記号や数字を混ぜましょう」とよく言われますが、なぜそれが重要なのか、そしてAIやGPUが進化した今でも通用するのかについて気になったことはありませんか?
総当たり攻撃(ブルートフォース)の進化
近年、AIとGPUの性能向上で「総当たり攻撃(ブルートフォース)」の実効速度は劇的に上がっています。総当たり攻撃(ブルートフォース)とは、パスワードに使用できるすべての組み合わせを試して突破する方法です。
かつてはツールを使用し1秒あたり数千回程度だった試行が、GPUの性能向上により1秒あたり億から兆単位での試行が可能になり、短いパスワードやよくあるパターン、AIによって推測されやすいパスワードは短時間で破られるようになりました。
では、具体的にどれほどの速度でパスワードが破られるのでしょうか。
1秒あたり 100,000,000回の試行速度で計算すると、
・8桁の数字:100,000,000通り。数秒で突破される可能性
・8桁の英数字(大文字・小文字・数字):218,340,105,584,896通り。この組み合わせ数でも数週間あれば解読されるといわれています。
しかし、パスワードの桁数と文字種を増やすとどうでしょうか。
・12桁の英数字+記号(95種類の文字):540,360,087,662,636,962,890,625通り。
解読には数億年以上かかる計算となり、事実上突破は不可能です。
このように、パスワードの文字数をたった4桁増やし、記号を混ぜるだけで、解読にかかる時間は「数時間」から「数億年」へと延び、実質解読不可能になるのです。
これが、パスワードの「長さと複雑さ」が今もなお、最も効果的だといわれる理由です。
さて、今回は主にAIやGPUの進化によってどれだけ総当たり攻撃(ブルートフォース)が進化したかについて書きましたが、残念ながら攻撃方法は総当たり攻撃(ブルートフォース)だけではありません。
例えばパスワードを使いまわしたり、多人数と共有していたり、AIによって推測されやすい規則性のあるパスワードを使用していると総当たり攻撃(ブルートフォース)よりはるかに簡単に突破されるリスクがあります。
パスワードを長く複雑にするのも重要ですが、それだけでなく2段階認証の導入やログイン試行回数の制限をつけるなどして対策していきましょう!
