今では非常に一般的であるため、私たちは皆、それについて考えることさえせずにそれを行います。少なくともx文字で、少なくとも1つの数字と1つの記号を持ち、名前や姓ではないパスワードを作成します。仕事中であろうとAppleIDの作成中であろうと、 「強力な(Apple ID)」パスワード(” password)に対するこれらのパスワード要件はどこにでもあります。
ある日、サイト(site one)で新しいパスワードを作成した後、私はすべての要件がどれほど異なるかを考え始めました。3文字以上のパスワードが必要なサイトもあれば、8文字以上のパスワードが必要なサイトもあります。記号が必要なサイトもあれば、そうでないサイトもあります。名前と以前のパスワードを気にする人もいれば、気にしない人もいます。では、どのパスワードが本当に強力なのでしょうか。
私はいくつかの調査を行い、誰かがパスワードを「(someone “)クラック」していることについて話しているときに、2つのことを発見しました。1つはパスワードの強度であり、もう1つは、保存時にパスワードをぎこちなくハッシュする暗号化の強度です。
強力なパスワードの概念全体が非常に数学的なものであり、このトピックに関して多くの研究が行われていることにすぐに気付きました。私の注意を引いたものであり、この投稿で言及するのは、2011年のカーネギーメロン大学の研究(2011 Carnegie-Mellon study)からのものです。
最初にパスワードをテストする
強力なパスワードとは何かを説明する前に、強力と思われるパスワードを解読するのにかかる時間を見てみましょう。これを確認するために、PassFaultサイト(PassFault site)のツールを使用します。
https://passfault.appspot.com/password_strength.html
仕組みは次のとおりです。パスワードを入力し、[分析(Analyze)]をクリック(password and click) します。デフォルトで非表示になっている2つのオプションがありますが、[オプションの表示(Show Options)]をクリックできます。それらの意味を説明しましょう。
Cracking Hardwareは、デフォルトで$ 900のパスワード攻撃者(password attacker)に設定されています。これは、正当なハッカーが行う可能性があります。また、180,000ドルのパスワード攻撃者(password attacker)を選択するオプションもあります。これは、中国人(Chinese)が高額な場合に使用する可能性があります。[パスワード保護](Password Protection)ドロップダウンには、パスワードの保存に使用される暗号化の種類に関するいくつかのオプションがあります。Microsoft Windowsシステム(Microsoft Windows System)は最も弱く、驚くことではありません。次に、ワイヤレスWPAアクセスポイント(Wireless WPA Access Point)、UNIX SHA1、UNIX Blowfish、および100ラウンドのSHA1があります。
いくつかのサイトで使用している強力なパスワードを試してみましたが、1日で解読される可能性があることにショックを受けました。
うわー(Wow)、それはかなり悪いです。そこで、より強力な暗号化オプション(Unix Blowfishと(Unix Blowfish)100ラウンドのSHA1)を選択し、結果が1日より長くかかることを確認しました。UnixBlowfishの場合は1年7か月、100ラウンドのSHA1の場合は2か月と2日です。。ただし、$ 180,000のパスワード攻撃者(password attacker)の場合、それぞれ11日と3日に短縮されました。受け入れられないと思った!非常に高価なパスワードクラッカー(password cracker)を使用しても、パスワードを解読するのに何年もかかるようにしたいと思います。しかし、数字と記号を含む9文字のパスワード(character password)を使用しているので、最善の方法は何ですか?
パスワードを強力にするものは何ですか?
これは、カーネギーメロン大学の研究(Carnegie-Mellon study)が全体に光を当てる場所です。基本的(Basically)に彼らが見つけたのは、使用するパスワードが長いほど強力であるということです。これは、長いパスワード(longer password)に多くの記号や数字を含める必要があることを必ずしも意味するのではなく、単に長くする必要があります。16文字で、避ける必要があるのは、非常に簡単な辞書の単語を使用することだけです。
それが可能だと確信していませんか?PassFaultサイト(PassFault site)では、次のパスワードを使用します。このパスワードは15文字で、非常に覚えやすいものです。
ilovemywifealot
次に、オプションとして、$ 180,000のパスワード攻撃者(password attacker)を選択し、最も弱い暗号化(Microsoft Windows)を選択すると、次のようになります。
1ヶ月7日!これは、私のパスワードが1日で解読されるよりもはるかに優れています。では、私のパスワードの何が問題になっていますか?どうやら、パスワードが短い場合は、パスワードを強化するために、より多くの記号、ランダムな文字、および数字を使用する必要があります。15〜16文字以上のように長い場合は、あらゆる種類の数字や記号を追加することを心配する必要はありません。パスワードを長くすると、より多くの辞書の単語を使用することもでき、それでも非常に安全です。明らかに、hellohellohelloのようなパスワードは、15文字であってもまだダメです。
辞書に載って3(word three)回同じ単語になるのでダメです。私が妻への愛を公言する最初のパスワードでは、その文はすぐにコンピューターにとってはぎこちないように見え始め、クラッキング辞書(cracking dictionary)にはその15文字のフレーズ(character phrase)が単語として含まれていません。辞書には辞書の単語がありますが、まっすぐな辞書の単語を避ければ、うまくいくでしょう。「妻」という言葉の代わりに妻の名前またはニックネームを使用した場合、私のパスワードはさらに優れていた可能性があります。(My password)アイデアが浮かびますか?
明らかに、長いパスワードにいくつかの記号を入れることができれば、パスワードはさらに途方もなく強力になります。たとえば、妻のパスワード(wife password)の前に感嘆符(exclamation point)を付け、最後に1つの数字を追加したとします。次に、同じオプションでクラックするのにどのくらい時間がかかりますか?
聖なる牛(Holy cow)!つまり、1か月7(month 7)日からなんと4世紀と10年になりました!!! ええ何世紀も!これは安全なパスワード(secure password)であり、覚えるのはそれほど難しくありません。したがって、この無料のオンラインツール(online tool)を使用してパスワードを確認してください。数日以内にパスワードが解読された場合は、特に銀行のパスワードなどの機密情報について、何か新しいことを考える時期になる可能性があります。
これらのオンラインサイトの多くは常にハッキング(Remember)されているため、パスワードが安全になることはありません。ただし、本当に強力なパスワードを使用すると、暗号化が非常に弱い場合でも、スーパーコンピューターがパスワードを解読するのに永遠に時間がかかります。この投稿を読んでいるときにサイトでパスワードを試した場合は、パスワードを解読するのにかかる時間をコメントでお知らせください。楽しみ!
OTT Guide to Creating a Strong Password
It’s so common now, that we all do it without еven thinking about it: create a password that’s at least x characters, has at least one number and one symbol and isn’t your first or last name. Whether you are at wоrk or creating an Apple ID, these password requirements for a “strong” password are everywhere.
After creating a new password on a site one day, I started thinking about how different all the requirements were. Some sites want passwords no shorter than 3 characters and some enforce a minimum of 8. Some want symbols, some don’t. Some care about your name and previous passwords, other don’t. So which password is really strong?
I did some research and found out two things when you are talking about someone “cracking” your password: firstly, there is the strength of your password and secondly, there is the strength of the encryption that hashes the password into gibberish when stored.
I quickly realized that the whole concept of a strong password is very mathematical and there have been numerous studies done on this topic. The one that caught my attention and that I will mention in this post is from a 2011 Carnegie-Mellon study.
Test Your Password First
Before we get into what a strong password is, let’s see how long it would take to crack your supposedly strong password. To check that, we’re going to use a tool on the PassFault site:
https://passfault.appspot.com/password_strength.html
Here’s how it works. You type in your password and click Analyze. It has two options that are hidden by default, but you can click on Show Options. Let’s explain what they mean.
Cracking Hardware defaults to a $900 password attacker, which would be possible for a legitimate hacker. They also have the option to choose a $180,000 password attacker, which the Chinese might be using if it’s that expensive. The Password Protection drop down gives you a few options for the type of encryption used to store the password. Microsoft Windows System is the weakest, no surprise there. You then have Wireless WPA Access Point, UNIX SHA1, UNIX Blowfish, and 100 rounds of SHA1.
I tried my strong password that I use on a couple of sites and was shocked to see that it could be cracked in 1 day!
Wow, that’s pretty bad. So then I chose the stronger encryption options (Unix Blowfish and 100 rounds of SHA1) and was happier to see the results would take longer than a day: 1 years and 7 months for Unix Blowfish and 2 months and 2 days with 100 rounds of SHA1. However, with the $180,000 password attacker, it went down to 11 days and 3 days, respectively. Not acceptable I thought! I want my password to take years to crack even with a super expensive password cracker. But what’s the best way since I am using a 9 character password with numbers and a symbol?
What Makes a Password Strong?
This is where the Carnegie-Mellon study shed some light on the whole thing. Basically what they found is that the longer the password you use, the stronger it is. This doesn’t necessarily mean the longer password has to have a lot of symbols or numbers, it just has to be long. At 16 characters, all you have to avoid is using super easy dictionary words.
Not convinced that’s possible? In the PassFault site, use the following password, which is only 15 characters and super easy to remember:
ilovemywifealot
Then, for the options, choose the $180,000 password attacker and choose the weakest encryption (Microsoft Windows) and this is what you get:
1 month and 7 days! That’s way better than my password being cracked in 1 day. So what’s wrong with my password? Well, apparently, if your password is shorter, then you need to use more symbols, random letters, and numbers to strengthen it. If it’s longer, like over 15 to 16 characters, then you don’t have to worry about adding all kinds of numbers and symbols. With a longer password, you can even use more dictionary words and it’ll still be very secure. Obviously a password like hellohellohello would still suck even though it’s 15 characters:
It sucks because it’s going to be in the dictionary and it’s the same word three times. In my first password where I profess my love to my wife, the sentence quickly starts looking like gibberish to a computer and no cracking dictionary has that 15 character phrase as a word. Dictionaries have dictionary words so as long as you avoid straight dictionary words, you’ll be good to go. My password could have been even better if I used my wife’s name or a nickname for her instead of the word “wife”. Get the idea?
Obviously, if you can throw in a number of symbol into a long password too, then the password becomes even more ridiculously strong. For example, let’s say I put an exclamation point in front of my wife password and added one number to the end. Then how long would it take to crack with the same options:
Holy cow! So it went from 1 month 7 days to a whopping 4 centuries and 1 decade!!! Yeah centuries!! Now that’s a secure password and it’s not very hard to remember. So check your password using this free online tool and if your password is getting cracked in a few days time, it might be time to think of something new, especially for your sensitive information like banking passwords, etc.
Remember, a lot of these online sites get hacked all the time, so your password is never safe. However, if you use a truly strong password, even if the encryption is very weak, it would take forever for a super computer to crack it! If you tried your password on the site while reading this post, let us know in the comments how long it would take to crack it. Enjoy!
