大手サービスで使える最強のパスワード
最近セキュリティについてちょっとこだわり出してみている。
一般的に、ローカルなファイルなどではなく、ウェブサービスのパスワードでは「予測されやすい文字でない」「使いまわしをしない」という基準を守れば8桁必要らしい。パスワードの総数は、桁数を増やせば指数関数的に増加するわけで、おそらく10桁、11桁もあれば十分すぎるだろう。(参考↓)
そんな中、いろんなサービスのパスワードを強化してKeePassで管理するように変更しているわけだが、せっかくパスワードを変えるなら最強のパスワードに設定したいというもの。
そんなわけで私が実際に試して調べた、各サービスで使える最強のパスワードについて書いてみようと思う。
一体誰がこんな不毛な記事に興味があるのだろうか。
書いている私本人ですら需要の分からない記事を、ひとまず開いてくれてありがとう。
当然だが、各サービスはいつ仕様変更があるかわからない。このデータは私が調査した時点のものだ。
(2019/03/09時点)
KeePassで生成した100文字のパスワードを入れてみる。
100文字だと上手くいくが1文字足してみると...
「もっと短いパスワードを選択してください。」と出てしまう。
文字数上限は100文字までのようだ。
文字の種類については、大文字・小文字・数字・一部記号のみとなっている。
KeePassの設定にある記号では実際にこんな記号が使える。
「上位のANSI文字」は対応していなかった。(一部は対応してるかも)
空白も使えるのは意外だった。
そんなわけでGoogle ではこんなパスワードも設定可能だ。
おそらく、総当たり攻撃が不可能であろうウェブサービスにおいて、こんな複雑すぎるパスワードに需要はあるのだろうか?
しかしさすがは天下のGoogle。「ぼくのかんがえたさいきょうのパスワード
」を設定するには最適なサービスだ。
ちなみに、8文字以上の予測されにくいパスワードであれば文字の種類などは関係ないらしい。
きちんと予測されやすいワードは使えないようになっている。
が、その判定は意外にも結構適当だ。
Microsoft
(2019/03/10時点)
思った以上にGoogle を長くやりすぎたのでこっからは簡素にやる。
Microsoftは127文字まで。
使える文字はこんな感じ。
使える文字はGoogleと同じだったが、文字数はMicrosoftが27文字勝ってしまった。
ウェブサービスの雄Googleが敗れるという意外な展開だ。
パスワードの条件はこんな感じ。
上にも貼ったこちらのサイトによると、”米国政府機関であるアメリカ国立標準技術研究所(NIST)が「Electronic Authentication Guideline」の最新版である「NIST SP 800-63-3」” では複数の文字の種類を入れる必要はないらしい。それを考えるとMicrosoftは厳し目な基準だ。
Amazon.co.jp
(2019/03/10時点)
今までどおりamazon.co.jpのパスワードを試していくと、何故かどこまで桁数を上げても警告が出ない。
試しにこんなパスワードでアカウントを作成してみる。
桁数は5,000文字、文字種類はKeePassで使えるすべての文字だ。
すると、なんと以下のようにアカウントが作成できてしまう。
しかし、一度ログアウトしたあと使ったメールアドレスとパスワードでログインしようとすると、エラーが出てログインできない。
おそらく、今までこんな長いパスワードを使おうとする人がいなかったのだろう。
ちなみにamazon.comでも同じパスワードで試したが全く同じ挙動を示した。
アカウントは作れるが、
サインインできない。
ここに来てはじめての展開...
一体どうすればいいのだろうか...
ここまで来たらAmazonに直接問い合わせるしかない...!
ここまで以外に記事が長くなってしまったため続きは別の記事にしようと思う。
ここまで読んでくれてありがとう!
最後まで読んでいただきありがとうございました! 貧乏学生なので一銭でも本当に嬉しいです。