ガイド

2024 NISTがパスワードの最小長を規定:16文字以上を目指してください!

量子コンピュータの台頭により、パスワードはより長く、より複雑にする必要があります。これらのヒントは、あなたのオンライン・アカウントの安全性を高めるのに役立ちます。

Chart on password security based on length and complexity according to 2024 recommendations by NIST and CISA

Tutaでは、量子安全暗号化によってユーザーのデータを安全に保つことに重点を置いています。最大限のセキュリティを実現するためには、十分な長さの強力で安全なパスワードの重要性はいくら強調してもしすぎることはありません。パスワードとパスワードの長さは、不正アクセスによってデータやあなた自身に害が及ばないようにするための第一の防御線です。複雑さや予測不可能性といった要素も重要だが、専門家はパスワードの安全性を確保する上で長さが重要な要素であることを強調している。しかし、量子コンピュータという新たな脅威を考えると、NISTやCISAが推奨する最適なパスワードの最小長とはどの程度なのだろうか?

セキュリティ専門家の意見

パスワードの長さは、それを解読するのに必要な時間と計算資源を大幅に増加させる」と、著名な暗号学者でセキュリティ専門家のブルース・シュナイアー氏は言う**。**

米国国立標準技術研究所(NIST)は過去に、安全なパスワードのためにパスワードの最小文字数を14文字以上に することを推奨しているが、パスワードの絶対最小文字数は8文字とし、最適なパスワードの長さは14文字から16文字の間であるとも述べている。NISTはまた、より長いパスワードは、強力なハードウェアや量子コンピューティングさえも使用できる、例えば国家権力者やシークレットサービスによる高度な標的型攻撃を含む、最新のクラッキング技術に対してより耐性があり、より優れていることを強調している。計算能力の向上に伴い、パスワードも攻撃に耐えるために長くする必要が あります。

Turn ON Privacy in one click.

パスワードを16文字以上にする

パスワードの長さと複雑さに関する 以下のチャートは 、2024年に発表されたNISTとCISAによる 勧告に基づいている。量子コンピュータの進歩に伴い、パスワードの長さを見直し、従来のコンピュータシステムよりもはるかに高い計算能力を持つ量子コンピュータからの攻撃に耐えられるだけの強度があるかどうかを確認する必要があります。

Tabelle zur Passwortsicherheit basierend auf Länge und Komplexität gemäß den Empfehlungen von NIST und CISA für 2024 Tabelle zur Passwortsicherheit basierend auf Länge und Komplexität gemäß den Empfehlungen von NIST und CISA für 2024 NISTとCISAによる2024年勧告に基づく、長さと複雑さに基づくパスワードの安全性に関するチャート。

セキュリティの専門家は、パスワードの最低長さとして少なくとも12文字を推奨しているが、機密性の高いアカウントには16~20文字以上のパスワードが理想的である 。アメリカのサイバー防衛局(CISA)はこう推奨している:

「少なくとも16文字 - 長ければ長いほど強力です!“

米国国立標準技術研究所(NIST)は、2024年にパスワードの推奨長さを更新 し、次のように述べています:

「パスワードの長さは、パスワードの強度を特徴付ける主要な要素である。

2024年、NISTはオンライン・サービスをより安全にするためのパスワード要件に関する新しいガイドラインを発表した。CISAが推奨する理想的な最小パスワード長16文字と同様に、NISTは、安全なパスワードは次のようにすべきであると述べている :

「最低15文字であるべきである。

パスワードの長さと複雑さ

パスワードの長さが新しく長くなったことを考えると、特殊文字の使用や辞書単語の不使用に関するこれまでのヒントは、より短いパスワードほど重くはありません。一般的に、セキュリティ専門家は、長ければ長いほど良いと言う 。しかし、完璧なパスワードを 目指すのであれば、以下の推奨事項にも従って損はない:

  • 大文字と小文字KLJDFwerfn
  • 数字923857
  • 特殊文字: =)§)]€&
  • ランダム性:予測可能なパターン、辞書的な単語のみ、または個人情報を避けることが重要です。

  1. 数字のみのパスワード:数字(0-9)だけで構成されたパスワードは、各文字に対して10通りの選択肢しかありません。例えば、8文字の数字パスワードの場合、10×10×10×10×10×10×10=100,000,000(1億通り)の組み合わせが可能です。

  2. 数字と小文字:小文字(a-z)を加えると、1文字あたり36通りの組み合わせが可能です。数字と小文字の両方を使った8文字のパスワードの場合、組み合わせの数は36×36×36×36×36×36×36=2.8211099e+12(2兆8,210億1,000万1,900万9,000)と飛躍的に増えます。

セキュリティーと使いやすさのバランスをとるには、パスフレーズの使用を検討することです。ランダムな単語をつなげたもの(例えば、「Solar-Miles50>Lunar-Meters51!

安全なパスワードを選ぶ際には、長さと複雑さの両方が重要であることを考慮しましょう。複雑さが難しい場合は、パスワードを長くするだけで、パスワード強度の面で同様の効果が得られます。

パスワードの長さと解読時間

パスワードの長さは、ハッカーがパスワードを解読するのにかかる時間を決定する最も重要な要素の一つです。パスワード・クラッキング・ツールは、ブルート・フォース(総当たり攻撃)に頼っている。ブルート・フォースとは、与えられたパスワードのあらゆる可能な組み合わせを、正しいものが見つかるまで体系的に試す方法である。この攻撃には時間がかかり、それは明らかにパスワードの最小の長さに依存する。実際、ブルートフォース攻撃者がパスワードを解読するのに必要な時間は、文字数が増えるごとに指数関数的に増大する 。例えば、6文字の長さのパスワードは、その複雑さと利用可能な計算能力にもよるが、解読に数分から数時間かかるかもしれない。しかし、文字数を12文字に増やすと、特に数字、大文字、小文字、特殊文字、記号などの多様な文字種を組み合わせた場合、解読に数年から数百年かかることさえあります。

この指数関数的な時間の増加は、より長いパスワードがより強力な保護を提供する理由を明確に示している。

NISTが2024年に発表した、パスワードの最小長やパスワード構造に関する勧告は、オンラインサービスにも反映される必要がある。例えば、Tuta Mailでは、パスワードの長さは最低10文字必要だが、パスワードの長さは無制限である。さらに、Tutaはサインアップ時にパスワード・ジェネレーターを提供しており、パスワードが最適な強度を達成するのに十分な長さになるように、ランダムに選択された単語で長いパスフレーズを生成することで、NISTのガイドラインをすでに取り入れている

ここでは、強力なパスワードを作成する方法について詳しく説明します。

長いパスワードが良い理由

パスワードの最小の長さは、悪意のある行為者がそれを推測するために試行しなければならない可能な組み合わせの数と直接相関しています。例えば

  • 大文字、小文字、数字、記号を組み合わせた10文字のパスワードでは約83兆通りの組み合わせが 可能です。

  • これが16文字のパスワードに なると、10兆通り 以上となり、難易度は飛躍的に向上する。

従来の暗号化に大きな課題をもたらすと予想される量子コンピューターでさえ、予測不可能な構造を持つ長いパスワードの解読は困難であることに変わりはない。

Turn ON Privacy in one click.

Tuta Mailユーザー調査からの洞察

私たちTuta Mailは、最先端のセキュリティに重点を置いており、すでに量子安全暗号を メールと カレンダーサービスに組み込んでいます。Tutaでは、ユーザーの秘密鍵はパスワードで保護されるため、長くて強力なパスワードを選択することがより重要になります。そこで、我々は2500人のユーザーを対象にアンケート調査を実施し、人々がパスワード・セキュリティについてどの程度知っているのかをより深く理解することができた。

Länge der Passwörter der Tuta-Benutzer Länge der Passwörter der Tuta-Benutzer Tutaユーザーのパスワードの長さ平均的なパスワードの長さは?文字です。

Tutaユーザーが平均的なインターネット・ユーザーを代表しているのではなく、非常に技術に精通し、セキュリティに関心を持っているという事実を考えると、この結果は衝撃的である:

  • 16%が一般的に10文字までのパスワードを使用している。
  • 32%が11~15文字のパスワードを使用している。
  • 31%は、強固なセキュリティレベルを提供するため、パスワードに16文字から20文字を使用している。
  • 21%は、最大限の保護のために20文字より長いパスワードを好む。

Tutaユーザーがこれほどセキュリティについて知っているにもかかわらず、16%が10文字までのパスワード(これでは十分なセキュリティとは言えない!)を選択し、32%が11文字から15文字の間のパスワードに落ち着いていることは驚きであり、ショッキングですらある。

平均的なツタ・ユーザーは、平均的なインターネット・ユーザーよりもオンライン・セキュリティについてよく知っていることを念頭に置く必要がある。例えば、同じ調査では、90%のユーザーがTuta Mailで電子メールをエンド・ツー・エンドで暗号化する方法を知っており、43%のユーザーがPGP暗号化を使いこなしているという結果も出ている。

このような高いレベルのデジタル知識にもかかわらず、Tutaユーザーの34%は、暗号化されたメールボックスのようなプライベートなアカウントでさえ、14文字以下のパスワードを使用している。

これは、オンライン・セキュリティのベスト・プラクティスについて人々を教育するには、まだ長い道のりがあることを示している。

Tuta調査からの教訓

調査結果は、Tutaユーザーのセキュリティに対する高度な理解を明らかにしているが、同時に改善の余地も浮き彫りにしている。52%のユーザーが15文字以上のパスワードを目指している一方で、16%はまだ10文字以下のパスワードで十分と考えており、これではアカウントが脆弱なままになってしまう。

量子安全電子メール・プロバイダであるTuta Mailのユーザーは、平均的なインターネット・ユーザーよりも知識が豊富であるため、16%が10文字以下のパスワードしか使用していないことは衝撃的である。このことは、ブルートフォース攻撃に脆弱なオンライン・アカウントがどれだけあるのかという疑問を投げかける。要するに、かなり多いということだ。

パスワードの長さは、オンライン・セキュリティを向上させる最も効果的で簡単な方法のひとつです。 サイバー攻撃の脅威が高まる中、そして量子コンピューティングの脅威が迫る中、長くて複雑なパスワードを使うことは必須である。

Tutaの調査結果は、最適な最小パスワードの長さについて 人々をよりよく教育し、パスワード・マネージャーやランダム・パスワード・ジェネレーターの使用を奨励 する必要性を強調している。さらに、重要なアカウントは、ハードウェアU2Fキーによる二要素認証で保護されなければならない。

よりプライベートなインターネットと、より良いデータ保護のために、一緒に働きましょう!

画面にTutaのロゴが入った携帯電話のイラスト。携帯電話の横には、暗号化によるTutaの高度なセキュリティーを象徴するチェックマークの入った盾が大きく描かれている。