セキュリティ専門家の意見
パスワードの長さは、それを解読するために必要な時間と計算資源を大幅に増加させます。“パスワードの長さは、ブルートフォース攻撃の難易度を指数関数的に増加させ、パスワードの強度の重要な側面となっています。
米国国立標準技術研究所(NIST)は過去に、安全なパスワードの最小文字数を12文字とすることを推奨してきたが、最適な最小文字数は14文字から16文字の間であり、より長いパスワードの方が、強力なハードウェアや量子コンピューティングさえ使用可能な、例えば国家権力者やシークレットサービスによる高度な標的型攻撃を含む、最新のクラッキング技術に対してより耐性があり、優れていることを強調している。計算能力の向上に伴い、パスワードも攻撃を防ぐために長くする必要がある 。
Tuta Mailユーザー調査からの洞察
私たちTuta Mailは、最先端のセキュリティに重点を置いており、すでに量子安全暗号化をメールと カレンダーサービスに組み込んでいます。Tutaでは、ユーザーの秘密鍵はパスワードで保護されるため、長くて強力なパスワードを選択することがより重要になります。そこで、我々は2500人のユーザーを対象にアンケート調査を実施し、人々がパスワード・セキュリティについてどの程度知っているのかをより深く理解することができた。
Tutaユーザーが平均的なインターネット・ユーザーを代表しているのではなく、非常に技術に精通し、セキュリティに関心を持っているという事実を考えると、この結果は衝撃的である:
- 16%が一般的に10文字までのパスワードを使用している。
- 32%が11~15文字のパスワードを使用している。
- 31%は、強固なセキュリティレベルを提供するため、パスワードに16文字から20文字を使用している。
- 21%は、最大限の保護のために20文字より長いパスワードを好む。
Tutaユーザーがこれほどセキュリティについて知っているにもかかわらず、16%が10文字までのパスワード(これでは十分なセキュリティとは言えない!)を選択し、32%が11文字から15文字の間のパスワードに落ち着いていることは驚きであり、ショッキングですらある。
平均的なツタ・ユーザーは、平均的なインターネット・ユーザーよりもオンライン・セキュリティについてよく知っていることを念頭に置く必要がある。例えば、同じ調査では、90%のユーザーがTuta Mailで電子メールをエンド・ツー・エンドで暗号化する方法を知っており、43%のユーザーがPGP暗号化を使いこなしているという結果も出ている。
このような高いレベルのデジタル知識にもかかわらず、Tutaユーザーの34%は、暗号化されたメールボックスのようなプライベートなアカウントでさえ、14文字以下のパスワードを使用している。
これは、オンライン・セキュリティのベスト・プラクティスについて人々を教育するには、まだまだ長い道のりがあることを示している。
パスワードの長さが重要な理由
パスワードの長さは、悪意のある行為者がそれを推測するために試行しなければならない可能な組み合わせの数に直接相関しています。例えば
-
例えば、大文字、小文字、数字、記号を組み合わせた10文字のパスワードでは 、約83兆通りの組み合わせが 可能です。
-
これが16文字のパスワードに なると、10兆通り 以上となり、難易度は飛躍的に向上する。
従来の暗号化に大きな課題をもたらすと予想される量子コンピューターでさえ、予測不可能な構造を持つ長いパスワードを解読するのは困難であることに変わりはない。私たちTutaは、すでに電子メールやカレンダーの量子安全暗号化を提供しているので、すべてのTutaユーザーにとって、安全で長いパスワードに変更することがさらに重要になっています。
パスワードを16文字以上にする
セキュリティ専門家は、適切なパスワードの長さとして少なくとも12文字を推奨しているが、機密性の高いアカウントには16~20文字以上のパスワードが理想的である 。アメリカのサイバー防衛局(CISA)は次のように推奨している:
「少なくとも16文字 - 長ければ長いほど強力です!“
米国国立標準技術研究所(NIST)は、2024年にパスワードの長さに関する推奨事項を更新 し、次のように述べています:
「パスワードの長さは、パスワードの強度を特徴付ける主要な要素である。
2024年、NISTはオンライン・サービスをより安全にするためのパスワード要件に関する新しいガイドラインを発表した。理想的なパスワードの長さとして16文字を推奨するCISAの勧告と同様に、NISTは安全なパスワードは こうあるべきだと述べている:
「最低15文字であるべきである。
パスワードの長さが新しく長くなったことを考えると、特殊文字の使用や辞書的な単語の不使用に関するこれまでのヒントは、より短いパスワードの場合ほど重くはない。一般的に、セキュリティの専門家は、長ければ長いほど良いと言う。しかし、完璧なパスワードを 目指すのであれば、以下の推奨事項にも従って損はない:
- 大文字と小文字。
- 数字と特殊記号。
- ランダム性:予測可能なパターン、辞書的な単語、個人情報は避けることが重要です。
セキュリティと使いやすさのバランスを取るには、パスフレーズの使用を検討すること。覚えやすいが推測されにくい、ランダムな単語をつなげたもの(例えば、「SolarMiles50>LunarMeters51!
NISTによるこれらの勧告は、オンライン・サービスにも反映される必要がある。オンライン・サービスでは、パスワードの要件を更新する必要があり、最も重要なこととして、パスワードを 作成する際にユーザーが入力できる文字数を制限しているサービスがまだ多いため**、より長いパスワードを許可する必要がある** 。例えば、Tuta Mailでは、パスワードの長さは最低10文字必要だが、パスワードの長さは無制限である。さらに、Tutaはサインアップ時にパスワード・ジェネレーターを提供しており、パスワードが最適な強度を達成するのに十分な長さになるように、ランダムに選択された単語で長いパスフレーズを生成することで、NISTのガイドラインをすでに取り入れている 。
ここでは、強力なパスワードの作成方法について詳しく説明する。
Tuta調査からの教訓
調査結果は、Tutaユーザーのセキュリティに対する高度な理解を明らかにすると同時に、改善の余地も浮き彫りにしている。52%のユーザーが15文字以上のパスワードを目指している一方で、16%はまだ10文字以下のパスワードで十分と考えており、これではアカウントが脆弱なままになってしまう。
量子安全電子メール・プロバイダであるTuta Mailのユーザーは、平均的なインターネット・ユーザーよりも知識が豊富であるため、16%が10文字以下のパスワードしか使用していないことは衝撃的である。このことは、ブルートフォース攻撃に脆弱なオンライン・アカウントがどれだけあるのかという疑問を投げかける。要するに、かなり多いということだ。
パスワードの長さは、オンライン・セキュリティを向上させる最も効果的で簡単な方法のひとつです。 サイバー攻撃の脅威が高まる中、そして量子コンピューティングの脅威が迫る中、長くて複雑なパスワードを使うことは必須である。
Tutaの調査結果は、最適なパスワードの長さについて 人々をよりよく教育し、パスワード・マネージャーやランダムなパスワード・ジェネレーターの使用を奨励 する必要性を強調している。さらに、重要なアカウントは、ハードウェアU2Fキーによる二要素認証で保護されなければならない。
よりプライベートなインターネットと、より良いデータ保護のために協力しよう!