パスワードの英数字混在化必須について

いつ頃からか、サービスへのログイン時のパスワードに使用する文字について、セキュリティ強化の一環として英数字混在化を必須とするシステムを目にするようになりました。

単純に組み合わせパターン数だけで考えると、混在必須とすると小さくなってしまう気がするのですが、間違ってますか？（パターン数の求め方に自信がなくて・・・ ^^;）

もし合ってるなら、わざわざこのような制限を設ける実際的な意味はあるのでしょうか？
（確かに「人間にとっては」より「想像しにくくなる」気はしますが・・・）

No.5 ベストアンサー 回答者： Yorisin 回答日時： 2008/10/10 15:19

すいません。

組み合わせは減ります。

さて、その理由についても書き忘れていましたが、
パスワードとは言え、覚えやすい文字列となると基本的には英単語や固有名詞となります。
よく使われる単語や固有名詞はパスワード解析ソフトなどでまずアタックされる標的となります。
単純に辞書を用意して頭から順番に入れてみれば良いですし。

ここで、ある程度長い文字数を指定した場合には一つの単語だけではカバー出来なくなるので複数の単語をつなげたりして覚えやすいパスワードを作りますが、上記の様に辞書アタックを仕掛けると、文字の組み合わせと同じように累乗で組み合わせが増えるため解析が難しくなります。
例えばパスワードが20文字以上だとすると、全部で20文字以上になる単語の組み合わせとなると、それこそ星の数ほどの組み合わせが発生し、単純に辞書総当たりで解析することが現実的でなくなります。
しかし実際にはそんな長いパスワードを設定するユーザーは面倒ですし、システム側も大変です。

そこで[アルファベットと数字を混在させなくてはならない]とすると、同じように単語と数字の組み合わせが単純な辞書だけではカバー出来なくなります。
例えばパスワードが[4文字以上]で単語[the]に数字を組み合わせる場合には最小文字数でもtheの前後どちらかに10種類の数字が入りますし、パスワードが4～10文字なら片側だけで1000000通りの組み合わせが発生します。

よって、一般的には文字と数字を混在した方が解析されにくくなると言われています。


もちろんですが、入力できる文字・数字・記号の組み合わせを総当たりで試されればどんなパスワードもいずれは解析されます。
こうした攻撃の対策としては、トラフィックやリクエストを監視し、異常なログイン要求があれば警告するなどの別のセキュリティ対策が必要となります。

この回答へのお礼

純粋なパターン数の減少よりも、辞書アタックによるヒット確率を下げる方が有効だということですかね。

回答ありがとうございました。

お礼日時：2008/10/10 15:56

No.4 回答者： Yorisin 回答日時： 2008/10/10 13:14

単純に計算してみました。

計算が間違っていたらごめんなさい
(単純かするため大文字小文字の区別無し)

n桁のパスワードとする場合では、
数字のみの場合の組み合わせは10^n (4桁なら10000通り)
英字のみの場合の組み合わせは26^n (4桁なら456976通り)
混在する場合の組み合わせは36^n (4桁なら1679616通り)

4桁で混在必須とするなら
1679616-10000-456976 = 1212640通りとなるようです。
これなら混在必須とする方が組み合わせは多くなります。

詳しい人がいましたら補足して下さい。

この回答へのお礼

混在必須の場合はそれぞれのパターン数を差し引けばいい訳ですね。

> これなら混在必須とする方が組み合わせは多くなります。

「少なくなる」の間違い？

お礼日時：2008/10/10 13:46

No.3 回答者： driverII 回答日時： 2008/10/10 12:39

#2さんの通りですが、ご質問は[混在可]よりも[混在必須]の方がパターン数が少ないのではないかということでしょうか？

その通りです。
2文字の例だと260パターンしかありません。

でもパスワードは基本的に記憶すべきもので、人は英単語、名前、日付、電話番号を使ってしまいがちです。
システムでそれが推測しやすいパスワードなのかを判定するのは難しく、例えば子供の名前を使った場合、正確にはその人の家族構成が分かっていないと出来ません。

パターン数を犠牲にしても混在必須の方が、推測されにくいものになるという訳です。

勿論、最低入力文字数を多くすれば、パターン数は確保出来ますので。

この回答へのお礼

> ご質問は[混在可]よりも[混在必須]の方がパターン数が少ないのではないかということでしょうか？

はい、そうです。
（やっぱり質問の文章が分かりにくかったでしょうか・・・；；）

> パターン数を犠牲にしても混在必須の方が、推測されにくいものになるという訳です。

やはりそういう意図があるんですかね。
プログラム解析するなら単純にパターン数が多い方が良い気もしますが、考えてみたらこの程度の差なら解析に掛かる時間にもそう大差出ないかもしれませんね。(^^;)

お礼日時：2008/10/10 13:43

No.2 回答者： noname#81859 回答日時： 2008/10/10 11:48

いや、パターン数は混在の方が多くなりますよ。

単純に2文字だとしますね。
数字だけだと10(0～9)×10=100(パターン)
英字だけだと26(A～Z)×26=676(パターン)
英数混在だと36(0～9およびA～Z)×36=1296(パターン)
となります。

この回答への補足

それは分かっています。
質問の文章が悪かったでしょうか。

補足日時：2008/10/10 13:38

No.1 回答者： xxi-chanxx 回答日時： 2008/10/10 11:48

文字数が増えればその組み合わせは増えます。

ａとbの２文字の組み合わせは、ab ba
a、b、cの３文字だと、abc acb bac bca cab cba
a、b、c、dの４文字だと、abcd abdc acbd acdb adbc adcb bacd badc bcad bcda bdac bdca cabd cadb・・・・・
この様に文字が一文字増えるだけで、組み合わせが増えていきます。
アルファベット２６文字に数字の１０文字を加えれば、当然パターンは多くなります。

また、パスワードを解析するソフトがあります。
簡単な組み合わせだと解析されてしまう恐れがあるのです。

この回答への補足

それは分かっています。
質問の文章が悪かったでしょうか。

補足日時：2008/10/10 13:36