パスワード1億9,300万件を分析してわかった最強パスワードとは

Kaspersky Labは2024年6月18日(現地時間)、「How quickly can attackers guess your password?|Securelist」において、ダークWebサイトに公開されている既知のパスワード約1億9,300万件を使用してパスワード強度の評価を行い、その結果を公開した。これら既知のパスワードの強度は実質上、ないに等しいが、Kaspersky Labは強力なパスワードの条件を特定するための実験サンプルとして使用している。

パスワード強度の測定

Kaspersky Labはパスワード強度の評価方法として、複数のパスワードクラックを実行し、その解読時間の推定値を使用した。パスワードクラックの手法としては「ブルートフォース攻撃」、「辞書攻撃」などを使用。辞書攻撃の単語としては英単語以外に名前、固有名詞、人気のパスワード(passwordや12345など)を使用している。

認証アルゴリズムとしては「ソルト付きMD5ハッシュの一致」を採用。RTX 4090 GPUを使用して一致するハッシュ値が得られるまでの時間の推定値を計測する。この条件下における各パスワードクラック手法を使用した強度の評価結果は次のとおり。

単純なブルートフォース攻撃による評価結果

単純なブルートフォース攻撃において最も解読困難と評価されたパスワードは、10文字以上の長さ、かつすべての文字種を使用したもの。解読には1年以上かかると評価された。最も脆弱と評価されたパスワードは文字のみ、数字のみ、記号のみのもの。これらの大部分は24時間以内に解読できると評価された。

スマートなブルートフォース攻撃による評価結果