パスワードに日付を入れてはいけない

日付をパスワードにしてはいけない

パスワードに日付を入れてはいけない

日付をパスワードにしてはいけません。

たとえば、銀行の暗証番号が4桁の数字だとします。
本来は0000～9999までの、1万通りあるので、勘で入力してもなかなかヒットしません。

ほとんどの銀行では、暗証番号の入力を3回連続で間違えると口座がロックされるような仕組みがあります。
1万通りから勘でトライして、3回以内に成功する確率は0.03%。

暗証番号を誕生日や記念日にしている人は意外と多いです。
0101～1231で考えると、366通りしかバリエーションがありません。

「自分の誕生日じゃなくて、初恋の人の誕生日にしてあるのでばれるわけがない」とか、そういうレベルの話ではありません。
暗証番号を日付にしているだけで、ものすごくリスクが高いです。

366通りから勘で3回トライして成功する確率は0.81%。
1万通りから選んだ場合に比べて27倍のリスクがあります。

日付をパスワードに使っているという前提で解析されると、あっさりパスワードが割られる可能性があります。

英数字の組み合わせを総当たりで試していくことをブルートフォースアタックといいます。

オンラインバンクなどでは、口座番号と暗証番号さえあればオンラインで口座を操作できたりします。

今日はパスワード0101と0102でログインを試す、
明日はパスワード0103と0104でログインを試す、
というのを毎日試していくと、半年以内に366パターンを試すことができます。
（1日2回以内の失敗ならアカウントがロックされない銀行が多い）

日付を暗証番号にしている人は、口座番号がバレてしまった時点で、半年以内にアカウントが乗っ取られるリスクがあります。
非常に危険です。

世の中の半分くらいの人は、暗証番号に日付を設定してしまっているのではないでしょうか。

犯罪者もそれを分かっているので、
「どうせこいつも日付総当たりでアタックかければパスワード解析できるっしょ」
と思っています。

ある日突然、口座の残高が0になっている恐怖……

リバースブルートフォースアタックというパスワード解析手法もあります。

普通のブルートフォースアタックは、ある人のクレジットカード番号などに対して、暗証番号を総当たりで試します。

リバースブルートフォースアタックは、ブルートフォースアタックの逆。
たとえば、暗証番号を0101に固定。
クレジットカード番号の方を変えながらオンラインバンクにログインできないか試します。

某企業がしょっちゅう個人情報を流出させているので、あなたの口座番号やクレジットカード番号も流出した名簿に載っているかもしれません。

悪い人の手元には数万人分のクレジットカード番号が書かれた名簿があるとします。
「pass1234」
みたいなパスワードでログインできないかを、数万人のアカウントに対して試します。

数万人もいれば、その中に1人くらいは「pass1234」とういパスワードを使っている奴がいるだろうという考え方です。

「1111」や「1234」に加えて、日付として成立する数字はターゲットにされやすいです。
日付をパスワードに組み込むと非常にリスクが高いです。

「パスワードには日付を使わない」
覚えておきましょう。

このページは移転しました。