数字6文字は“一瞬”で解読される Hive Systemsがパスワード強度を調査：セキュリティニュースアラート

Hive Systemsはブルートフォース攻撃に対するパスワードの解読時間をまとめた「Hive Systems Password Table」の2024年版を公開した。調査によると、数字6文字のパスワードは"一瞬"で解読されるという。

[後藤大地，有限会社オングス]

　Hive Systemsは2024年4月24日（現地時間）、2024年版の「Hive Systems Password Table」を公開した。

数字6文字のパスワードは“一瞬”で解読される　Hive Systems研究結果

　これは総当り攻撃（ブルートフォース攻撃）によるパスワード解読を実行した場合に、使用しているパスワードがどの程度の時間で解読されるかをまとめたものだ。Hive Systemsは数年前からこうしたデータを公開している。

　Hive Systemsが2020年に公開したデータはパスワードハッシュMD5を対象に、グラフィックボード「NVIDIA GeForce RTX2080」を1枚使った場合のパスワード強度を報告していた。2022年には8枚の「NVIDIA A100」を使った分析結果に、2023年には12枚の「NVIDIA GeForce RTX4090」を使った分析結果にアップデートされている。今回の2024年版では対象となるパスワードハッシュをMD5からbcryptに変更し、2023年と同じ12枚のNVIDIA GeForce RTX4090を使った分析結果が報告されている。

　Hive Systemsは、今回からパスワードハッシュをbcryptに変更した理由として「アカウント情報の流出を確認できる無料サービス『Have I Been Pwned（HIBP）』によって集計した侵害されたパスワードハッシュデータ種類が2020〜2024年はbcryptが首位となっていること」を挙げている。

　主な調査結果は以下の通りだ。

• 数字だけで6文字：　一瞬
• 数字だけ8文字：　37秒
• 数字、大文字、小文字を混在させて8文字：　3年
• 数字、大文字、小文字、記号を混在させて8文字：　7年
• 数字だけで12文字：　4日
• 数字、大文字、小文字を混在させて12文字：　3800万年
• 数字、大文字、小文字、記号、企業名を混在させて12文字：　1億6400万年

　ランダムではないパスワードは上記に表記されている時間よりもずっと短い時間で突き止めることが可能だとされており、あくまでもランダムに生成されたパスワードに対する参考値である点に注意する必要がある。

　現在のサイバーシステムの多くはパスワードに依存する認証システムを採用しており、強いパスワードを使うことは必須という状況にある。「Hive Systems Password Table」はどういったパスワードが簡単に解析されてしまうのかを知る上で興味深いデータになっており、強いパスワードを知るために指針として利用できる。