次回パスワードを作成しなければならないときは、特に、サイトで大文字と小文字、数字、記号の奇妙な組み合わせを使用するように要求されている場合は、このような難読化の試みによって自動的にパスワードが信頼でき安全であると考えないでください。

Webrootのシニアセキュリティアナリスト、ランディ・エイブラムス氏は、いくつかの簡単なテストを行いました。彼は、数字、大文字、小文字、記号を含む8文字のパスワードで作成可能なすべてのパスワードの可能性を数えました。（これは95の8乗乗、つまり6,634,204,312,890,625通り、つまり6600兆通りの数字に相当します。）

誰かが典型的なブルートフォース攻撃であなたのパスワードを解読しようとしていると仮定しましょう。彼らは1秒間に約310億通りのパスワードをテストできると仮定します。あなたが使っている比較的複雑な8文字のパスワードを解読するには、最大で212,903秒かかります。これは3,548分、つまり約2日半に相当します。

さて、少し制約についてお話しましょう。あなたが利用しているサービスが8文字のパスワードを要求していると仮定しましょう。エイブラムス氏によると、1文字から7文字までのすべてのパスワードが無効になるため、70.6兆個のパスワードが削減されることになります。これにより、クラッキングツールはなんと2,277秒、つまり約38分も時間を節約できます。これは悪くない数字です。

セキュリティ上の理由から、記憶のために8文字のパスワードを使用し、サービス側が大文字と小文字、そして記号の使用を強制するとしたらどうでしょうか。これはより安全ですよね？パスワードが複雑になり、攻撃者が解読しにくくなるからです。しかし、そうではありません。エイブラムス氏が指摘するように、例えばすべて小文字のパスワードなどを排除することで、パスワード候補のプールを18.5%削減できるのです。このシナリオでは、システムがパスワードを検知するまでに最大2日しかかかりません。

サービス側がパスワードに数字を含めることを要求し、そのアドバイスに従って「複雑な」パスワードを8文字に抑えた場合、ブルートフォース攻撃ツールが推測しなければならないパスワードの種類を約41%削減できます。私たちのシナリオでは、最大時間は34時間、つまり1日半弱に短縮されます。

短いパスワードを推測やブルートフォース攻撃されにくくする最善の方法について心配するよりも、サービスにパスワードの制約があったとしてもその影響ははるかに少ないため、より長いパスワードを選択する方がはるかに良いとエイブラムス氏はアドバイスしています。

長いパスワードにはほとんど効果がないことに気づいたかもしれません。また、長いパスワードに制約を課すことも、多くの場合、ほとんど意味がありません。これは、パスワードに文字を追加するたびに、パスワードの種類が指数関数的に増えていくためです。小文字のみで構成された16文字のパスワードの組み合わせは、4つの文字セットすべてを使用した8文字のパスワードの組み合わせの650万倍あります。つまり、「toodlesmypoodles」は「I81B@gle」よりもはるかに解読が困難になるということです。

おそらく、3 語のパスフレーズは使用せず、代わりに多くの単語を使用したパスフレーズ (長さは問いません) を使用することをお勧めします。

さらに良いのは、パスワード管理アプリで長いパスフレーズ（有名な引用やありきたりなフレーズではなく）を使用し、二要素認証（テキストメッセージで受け取るログインコードではなく、アプリやその他のハードウェアデバイスから生成するトークン）でセキュリティをさらに強化することです。そして、パスワードマネージャーを使って、他のすべてのサービスで大文字、小文字、数字、記号を駆使した16文字以上のパスワードを生成するのです。思いっきり楽しんでください。

制限付きの短いパスワードしか使えないサービス（特に数字しか使えないサービス）に登録しようとすると、不安になるかもしれません。運が良ければ、セキュリティを少し強化するために2段階認証も設定できるかもしれません。