hhvm, wordpress, ios の開発日記

【wordpress】パスワードの文字数は?ブルートフォースアタックの対策あり

 悲しいことに、先日、Gmailへのログインハッキングを受けました。2段階認証にしているので、そう簡単に突破は出来ませんが、ログインを試みようとされただけでも冷や汗が出ます。

 そういえば、wordpress関連のログインパスワードはあまり強固にしてないかもと思い、パスワードはどれぐらいの時間で突破されるのか気になったので調べてみました。

今回の目次

パスワードはどうやって突破されるのか?
驚きの計測
携帯電話やATMのパスワード、そして家の鍵
ブルートフォースアタック対策

パスワードはどうやって突破されるのか?

 攻撃方法はブルートフォースアタックという総当たり攻撃を想定してます。ブルートフォースアタックとは、パスワードの入力を自動で行える仕組みを作ってコンピューターに解錠させる攻撃です。

 今回使用する仮のパスワードは「!b6/5f_1IHFn#gWid&Ma」とします。半角英字大文字小文字、半角数値、記号を組み合わせた約70進数となる最大20文字の文字列です。

 この文字列を8文字から切り出して、ブルートフォースアタックで解錠できるまでの時間を計りました。時間計測に利用したWebアプリは、Intel社の提供する「How Strong is Your Password」です。

驚きの計測

 それでは結果発表!!

  • 文字数
  • パスワード文字列
  • 時間
  • 8
  • !b6/5f_1
  • 38.7分
  • 9
  • !b6/5f_1I
  • 16時間
  • 10
  • !b6/5f_1IH
  • 2週間
  • 11
  • !b6/5f_1IHF
  • 1年
  • 12
  • !b6/5f_1IHFn
  • 33年
  • 13
  • !b6/5f_1IHFn#
  • 1076年
  • 14
  • !b6/5f_1IHFn#g
  • 27980年
  • 15
  • !b6/5f_1IHFn#gW
  • 727499年
  • 16
  • !b6/5f_1IHFn#gWi
  • 18914988年
  • 17
  • !b6/5f_1IHFn#gWid
  • 491789711年
  • 18
  • !b6/5f_1IHFn#gWid&
  • 15737270759年
  • 19
  • !b6/5f_1IHFn#gWid&M
  • 409169039734年
  • 20
  • !b6/5f_1IHFn#gWid&Ma
  • 10638395033096年

(2015/8/18の状況)

 最近、パスワードを8文字以上にしなさいというWebサービスが多いですが、8文字だと、38.7分しか耐えれないようです。サーバー管理人が常時監視しているなら気づけるけど、そうでない場合は8文字では弱いかもしれません。できれば10文字以上を、今後のPC環境の発展を考えると14文字以上をおすすめします。

 もちろん、半角英字大文字小文字、半角数値、記号を組み合せにすることもお忘れなく。ちなみに銀行などでよくある、数字だけのパスワードの場合に解錠できるまでの時間も測ってみました。

  • 文字数
  • パスワード文字列
  • 時間
  • 4文字
  • 0230
  • 0.001秒
  • 8文字
  • 19000230
  • 0.0272秒

(2015/8/18の状況)

 なんと、8文字でも、0.03秒。瞬きしてる間にログインされちゃいますね。こんなパスワードを使っちゃいけません。

 とはいえ、これらの解除の時間は現世代のCPU速度が生み出すもの、今後の技術進歩に伴い、どんどんと短くなっていくということは覚えておいて損はないと思います。

携帯電話やATMのパスワード、そして家の鍵

 名探偵コナンで、蘭ねえちゃんがコナンくんの携帯電話のロック外すお話がありました。0000から9999まで入力する手動ブルートフォースアタックには8時間かかるということで、初めは推理した番号を入れていきますがヒットせず、手動ブルートフォースアタックに切り替えましたが2時間ぐらいであきらめました。そして、また、推理にもどり、4869に辿り着き解錠できました。

 ATMだと、3回入力をミスすると、それ以降はロックがかかるので手動ブルートフォースアタックが出来ません。3回以内に推測出来ない

 ところで、みなさんの家の玄関の鍵は、1つですか?2つですか?3つですか?2つ以上にすると、泥棒の抑止力になると言われています。これは、鍵を開けるのに時間がかかり、目撃される確率が上がるためだと言われています。 

ブルートフォースアタック対策

 現実の世界を少し覗いてみましたが、そこからブルートフォースアタックの対策が見えてきます。回数制限をするか、多重の鍵を用意するかで解錠までにより時間をかけることが出来ます。

 ATMの場合は、回数制限後使えなくなりますが、Wordpressの場合はログイン出来ないのも困ります。そこで、数回間違えたらしばらくの間だけログインできないようにすれば解錠までの時間をのばせます。Wordpressをそんな風に使いたい時はプラグインの「Login Lockdown」を使いましょう。

 また、多重の鍵を使ってパスワードを強化したい場合は、プラグインの「Google Authenticator」や「Authy」を使うとワンタイム型の二段階認証が可能です。

 ワンタイム型の二段階認証はパスワードが短時間で変わっていき、それをスマホのアプリやメールなどで取得するので比較的安全です。

 これらのプラグインを使えば、ブルートフォースアタックの対策ができる様になります。

 他にも対策は色々ありますが、基本は、半角英字大文字小文字、半角数値、記号の組み合わせで14文字以上を指定して、ログインをサポートするプラグインを使うと比較的安全になります。

 完璧なセキュリティというのはなかなか難しいですが、安全性と利便性を両立させたパスワードを使っていきたいですね。

 おわり

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です


*