株式会社ディアイティはサイバーセキュリティとネットワークの企業

セキュリティ調査レポートVol.3

パスワードの最大解読時間測定 【暗号強度別】

測定趣旨

重要なファイルには、その機密性を維持するためにパスワードを設定することが常識となっています。しかし、日常業務であまり複雑なパスワードを設定した場合、業務効率が低下するばかりでなく、メモ書きするなどしてかえってセキュリティ度を下げる結果を招きかねません。機密レベルにあったパスワードを利用することが重要です。
今回のレポートでは、暗号強度別のパスワード最大解読時間を測定し、パスワード桁数、ファイル形式によるパスワード耐性を明確にしました。

解析方法の解説

パスワード強度の測定には一般的に総当たり攻撃手法を用います。それは市販あるいはフリーツールの入手が容易であり、一般的PCを1台用意すれば環境が整えられるからです。つまり、パスワード解析の環境は誰にでも実現できるものであり、時間さえあればどんなパスワードでも解析可能だということです。
以前は、8桁で、英大小文字、数字、記号を含んだパスワードのすべての組み合わせを解析するためには膨大な時間が必要でした。しかし、CPUやメモリといったPC構造部分の世代交代や、GPGPU(GPUの演算能力を汎用的な計算に応用するための技術)利用といった手法の登場は、解析能力を飛躍的に向上させ、先に述べた総当たり攻撃手法によるパスワード解析に要する時間を大幅に短縮しました。
今回の測定では、容易に入手できるPCパーツを用いてGPGPUが可能なシステムを構成し、解析を実測し、組み合わせ総数を解析した場合の時間を算出しました。
また、暗号化やファイル形式による違いについても合わせて測定しました。

実施日
2012年12月
ハードウェア
PC1台(CPU:Intel Core i7、システムメモリ:8GB、GPU:GeForce GTX 680)
GPU
Windows7(64bit)
ソフトウェア(OS)
市販ツール(改造なし)
ツール
パスワードの総当たり攻撃(Brute Force Attack)
手法
パスワードの総当たり攻撃(Brute Force Attack)

1秒間あたりに解析できる回数(上記ハードウェア構成PC1台での数値)

解析ファイル種類 ZIP ZIP(256bitAES) DOC DOCX
解析回数(1秒間) 約45億回 約105万回 約1200万回 約23000回

測定結果

桁数 4桁 6桁 8桁 10桁
英小文字 (26字)
ZIP 1秒以下 1秒以下 46秒 9時間
ZIP(256bitAES) 1秒以下 5分 2日 4年
DOC 1秒以下 26秒 5時間 136日
DOCX 20秒 44分 105日 195年
英大小文字+数字 (62字)
ZIP 1秒以下 13秒 13.5時間 6年
ZIP(256bitAES) 14秒 15時間 7年 26千年
DOC 1秒以下 1時間20分 211日 2,218年
DOCX 10分42秒 29日 301年 1,158千年
英大小文字+数字+記号 (93字)
ZIP 1秒以下 2分24秒 14日 341年
ZIP(256bitAES) 1分11秒 7日 169年 1,462千年
DOC 6秒 15時間 15年 128千年
DOCX 55分 326日 7,800年 66,726千年

桁数

測定値からも分かるように、従来言われてきた「パスワードは4種類93字の組み合わせ、8桁の構成にすれば大丈夫」という状況ではありません。暗号化していないZIP形式のパスワードについては、2週間ですべての組み合わせが解析できてしまいます。つまり機密性の高いファイルのパスワード設定には、10桁以上が必要であり、現在8桁のパスワードを用いているファイルについては見直しが必要かもしれません。

ファイル形式

ファイル形式での違いを見ると、Office文書の暗号化設定を用いた場合、ZIP形式でOffice文書を圧縮してパスワード設定するよりも、パスワード解析に多くの時間を要しています。これは入力パスワードが、ファイルに設定されているパスワードと符合しているかを判定するのに、ZIP形式に比べOffice文書の場合は別のパスワードを試すまでに要する時間が長いため、パスワード解析への耐性が高いといえます。
つまり、ZIP形式を用いる場合でも256bitAESでパスワードの暗号化をしておけば、入力パスワードとの符合処理の際、設定されているパスワードの復号に時間がかかるため、パスワード解析を困難にすることができます。(別途、暗号化/復号ソフトが必要)

2008年2月にIPAから公開されたパスワードの最大解読時間よりも、数万倍の解析速度となっています。

IPAサイト

コンピュータウイルス・不正アクセスの届出状況[9月分および第3四半期]について(第08-23-133号)
表1-1: 使用できる文字数と入力桁数によるパスワードの最大解読時間
URL: http://www.ipa.go.jp/security/txt/2008/10outline.html

対策

機密性の高いファイルの圧縮や暗号化において、パスワード認証だけでなく、別の認証方法を組み合わせた2要素認証を使うことでセキュリティ強度を高めることが可能です。たとえば、銀行ATMでは2要素認証のために、キャッシュカードと4桁の暗証番号でセキュリティ度を高めています。

このサービスに関するお問い合わせ

03-5634-7654電話受付時間/平日9:00-18:00
メールでのお問い合わせ

24時間受付