2013年最悪パスワードが発表になったようです。

2013年最悪パスワード、トップは「123456」--「password」を抜く - CNET Japan

ここに載っているパスワードは論外なわけですが、僕は仕事柄、いろいろなシステムの（システム管理者用の）パスワードを見てきました。

よくあるのが

P@ssw0rd

アルファベットの大文字、小文字、数字、記号を使用する必要があるため、passwordという文字を少し変更したタイプです。

後ろに!や!?などの記号を付加して文字数を増やした亜種もあります。

（似たような発想で亜種を作ってドヤ顔するのやめてください。）

インターネットからアクセス可能な企業向けシステムでこのような脆弱なパスワードが設定されている例をいくつも目撃しております・・・。

パスワードについてちょっと調べてみた 

パスワードが破られるまでの時間を知る方法 | nanapi [ナナピ]

パスワードはどの程度難しかったら大丈夫なのか：谷誠之の 「カラスは白いかもしれない」：ITmedia オルタナティブ・ブログ

インクリメンタル攻撃ばかりで、辞書攻撃について書いていません。

後者のリンクは ITMediaの記事で、20年IT技術教育やってる人が書いてるのに

「N!ntendo3DS」と、「i」を「！」に変えるだけで、クラッキング時間は4千年に延びます。これなら大丈夫かな？

とか書いています。

大丈夫じゃないから！

使ってはいけないパスワード、パスワードを予測する

こちらに書いてますが、

aを@、iを1・・・のように見た目が似ている文字に置き換える手法は予想されやすいので使ってはいけないのです。

いくら長い文字列を使っても（攻撃用の）辞書に載っている文字の羅列では辞書攻撃には脆弱です。

例）@dm!n!str@t0rP@ssw0rd　　（強そうにみえるけど実は弱い系）

（キーボードの配列を使ったやつもダメです。qwertyはもちろん、1qaz2wsxとか、asdfghjkl;:とか・・・）

攻撃対象がハッキリしていて、対象をどうしても攻略したい場合にはインクリメンタル攻撃することもあるでしょう。

しかし、そうでない場合には辞書攻撃を使うのが一般的ではないかと思います。

インクリメンタル攻撃への対策（文字数、文字種類を増やす）だけでなく、辞書攻撃への対策（推測されやすいパスワードになっていないか？）も考慮してパスワードをつけましょう。

（意味のない文字の羅列でも覚えられるはずです！）

なんか久しぶりにエンジニアっぽい記事書いた気がする（笑）

---追記---

攻撃の種類について

ブルートフォース攻撃について考えてみました。 « (n)