文はより良いパスワードを作るのか？

毎日のように、誰かがフォーラムに来て、自分のアカウントが何らかの形でハッキングされ、なぜそうなったのか理解できないと書いているようです。人々がアカウントを頻繁に侵害される理由の一つは、どのようにして起こるのかを正確に理解していないからです。誰かのパスワードを盗むプロセスが明らかになれば（実は簡単です）、ハッカーがアカウントに侵入できないようにパスワードを効果的に修正する方法を理解することができます。最近、セキュリティ専門家たちが提案した一つの方法は、連続した文字列（「blablabla」のような）ではなく、短い文をパスワードとして使用するというものです。これについて、及びそれがより安全かどうかを見てみましょう。

こちらもお読みください: Googleアカウントを安全に保つための8つの重要な設定

パスワードの盗難の理解

ここMTEでは、ハッカーがどのようにしてあなたのパスワードを手に入れるかについてすでに取り上げています。しかし、このリストは主に情報を盗み取るための方法から成り立っています。今、私はハッカーがパケットトラフィックに侵入するのではなく、外部からあなたのアカウントを開けるために使用する方法についてお話ししたいと思います。これらの方法は少し簡単ですが、より多くの時間を要します。見てみましょう：

総当たり攻撃: この混乱の方法は、マルチキャラクターの文字列の多数の順列を単純に試すことです。つまり、総当たりツールを使ったハッカーは、数千の順列を試し、時間が経てば正しいものにたどり着けることを期待します。このツールは、キャラクターの組み合わせ（「jif2$F」など）をランダムに推測します。パスワードは通常6文字以上なので、この方法には時間がかかります！しかし、決意したハッカーは、アカウントに侵入するために一日中パスワードを推測し続けるでしょう。
一般的な言葉攻撃: ハッカーは、一般的な日常用語（「いちご」や「ウイスキー」など）をリストから使用し、それを特殊なツールに読み込ませて、各項目を試します。一般的な言葉をパスワードとして使うことでアカウントを突破するのに数分（多くの場合、数秒）しかかかりません。
辞書攻撃: 名前が示す通り、ハッカーはオックスフォード辞典のコピーを取り出し、すべての単語を試します。自動化ツールを使用すると、これは一般的な言葉攻撃よりも少し時間がかかりますが、多くのアカウントが突破されることになります。

セキュリティ専門家たちは長い間、最も安全なパスワードはアルファベットと数字の文字の組み合わせ（大文字を含む）および特殊文字（「$@(%#」など）を含むものであると結論づけています。これが今日の真実から遠くはありません。「ff9jF#D」のようなパスワードは「キャラメル」よりもはるかに安全です。ただし、ランダムな文字を記憶するのは非常に難しいという欠点があります。我々の脳はそのようには作られていないのです。

また、この話題の中で秘密をひとつお教えしましょう：もしある専門家が、文字列パスワードを破るのに数年かかると言ったら、それはおそらくCPUを使った総当たり攻撃について話しているのです。ハッカーはもうそんなことをしません。代わりに、nVidiaのCUDA技術のようなものを使用し、グラフィックカードの非常に高速なGPUにアクセスできるようにして、コンピュータが1週間で行うことを数時間で実行することができます（いくつかのハードウェアを連結することによって）。

文は本当に良いのか？

スペース（” ”）はほとんどのパスワードフォームで合法的な文字です。これは、単語をお互いに分けられることを意味します。セキュリティ専門家の一人、トーマス・ベイクダルによれば、単語を並べた文をパスワードにするだけで、ハッカーにとって悪夢を引き起こす可能性があります。文を使用する利点は、8fa@!FaicC*よりもはるかに覚えやすく、適切に使用するとより安全であるということです。

2007年、ベイクダルは「これは楽しい」という文が「J4fS<2」よりも10倍安全であると書きました。彼の現在の意見は分かりませんが、彼の執筆によると「 これは楽しい 」のような単純なものがコンピュータに2,537年かかるほど安全だとは思いません。

まず、ハッカーが英語で最も一般的な1,000の単語のリストを使って「これは楽しい」を破解すると仮定しましょう。パスワードが3つの異なる単語を使用しているため、私たちは1,0001,0001,000の順列に直面することになります。これは10億の順列をサイクルします。たくさんのように聞こえますが、コンピュータにとっては非常に簡単です。

私はトーマス・ベイクダルが間違っているとは言っていません。ただ、あなたが選択をする際にはいくつかのガイドラインに従う必要があると言っているだけです。ここで、数日間この問題を考えながら思いついたアイデアをいくつかお見せしましょう：

ハイフン（“-”）のようなスペース以外の区切りを使用する。少し大胆になりたいなら、商標記号（“™”、Alt+0153）のような非常に難しいものを試してみてください。
会話で使われない珍しい単語を使用する。「 量子理論は重要な発展です。 」のような文を作ることもできます。ラテン語（「repetitio est mater studiorum」）のような他の言語の文を作成することも可能です。これは特に、英語が母国語でない場合に便利です。ほとんどのハッカーは英語の単語を用いたパスワードを検索しますが、ロマニア語やチェコ語など考えないでしょう。
無作為の単語の文を作る。例としては「 パラファネリア光子イカ」などがあります。

これらのルールに従うことで、最初は記憶が難しいパスワードが生成されるかもしれません。しかし、私が例として挙げた非英語のパスワードのラテン語のことわざを考え直してみてください。その訳は：「繰り返しは学びの母です。」パスワードを使い続ければ、すぐに記憶できるようになります。「 faji2o#($FCCineF)9f(# 」を記憶するより、「 パラファネリア光子イカ 」やそれがあなたの母国語で何であれを記憶する方がはるかに簡単だと思います。

文を長くすればするほど安全性が増します！短い文を使うことである程度の高い安全性を得ることができますが、一般的な単語リストに引っかかるものを使用しない限りです。辞書攻撃があなたのパスワードに対してまだ可能であるものの、ハッカーのツールがあなたのパスワードを破るのにかかる膨大な時間のため、結果が得られる可能性は低いです。

制限

上記の方法の唯一の制限は、一部のサイトが20文字を超えるパスワードを許可していないことです。また、いくつかのサイトでは、パスワードにスペースや他の特殊文字を許可していませんが、これはますます少なくなっています。私が出会ったオンラインバンキングプラットフォームの中には、最大14文字の英数字しか許可されていないものもあります。これらのサイトでは、文としてのパスワードは全く機能しません。