タグ別アーカイブ: 強度

ZIPに設定したパスワードの強度と暗号化(AES256)について

windowsのパソコンでZIPファイルにパスワードを設定する場合の「暗号強度」についてが今回のテーマです。


ZIPを暗号化(AES256)してパスワードをかけると暗号強度が増す


結局のところ、ZIPやRARなどのパスワード解析に必要となる解析の時間は、まずはパスワードの桁数の多さと文字のバリエーションの豊富さ(数字や英文字、記号をより多く組み合わせているパスワードほど安全)できまります。


また、「パスワードの解析され難さ」はZIPファイルを暗号化しているか否かによって更に変わってくることが分っています。以下のサイトを参考にして下さい。


※ 画像引用、出典 : パスワードの最大解読時間測定(暗号強度別)

zippassword.net.150529.2



赤枠を見て下さい。「ZIP」と「ZIP(256bit AES)」が比較されているのが分ると思います。総当り解析(ブルートフォースアタック)の場合、普通のZIPと「AES256」で暗号化したZIPとでは、解析に掛かる時間が違うことが分ります。


特に、「6桁」あたりから「8桁」で急激に解析時間が変わっているのが分ると思います。「8桁」で「英文字大小+数字(62文字)」のパスワードを総当り解析した場合では、「ZIP:約13時間」「ZIP(AES256):7年」と、パスワード解析に必要な時間が両者で明らかに違うことが分ります。「13時間」と「7年」では時間の桁数が天文学的に違いますよね。


ちなみに、「ZIP(256bit AES)」は、以前以下の記事でご案内した「ZIPファイルを暗号化するアルゴリズム」のことです。


http://www.zippassword.net/278.html


一秒あたりにパスワード解析できる回数についても、やはりZIPとZIP(AES256)ではこのように違ってきます。




zippassword.net.150529.3


暗号化されているAES256のZIPのほうが、暗号化が掛かっている分だけ1個のパスワード解析により多くの時間が必要になるということでしょう。「45億回/秒」と「105万/秒」では全然違います。



パスワードアナライザーの特徴


本サイトのパスワードアナライザーは、ローカルPC上でパスワード解析を実行する通常のフリーソフトとは違い、グラフィックボード搭載の高性能サーバー上にファイルを直接アップロードしてパスワードの解析を実行する点に特徴があります。



パスワードアナライザーの特徴については以下の記事をご参照下さい。


パスワードアナライザーの詳細

パスワードの強度・安全度をチェックする方法

ZIPファイルのパスワードに限らず、ネットでWebサービスへログインするパスワード等にいくら注意を払っていてもパスワードの安全性が判らないため不安になりますよね。


こういうときは、パスワードの安全性(強度)について調べておくことも大事です。


パスワードの強度をチェックするツール、その他情報サイト

パスワードの安全性がどの程度担保されているのか確認することができるツールを利用するのも一つの手ですよね。文字数、文字列のランダム性、記号やアルファベットを混ぜているか、等がポイントになります。


パスワード強度チェッカー


サイト:パスワード強度チェッカー

zippassword.net.150507.1



上記の図は「1234」と入力した場合の結果です。「スコア」が「4%」、つまり、安全性が皆無の暗証番号(パスワード)だということです。


次に、「1234 Q W」と入力してみましょう。その結果が下図です。


zippassword.net.150507.2




今度は「Q」と「W」を追加しただけでスコアが「40%」に跳ね上がりました。「数字だけ」よりも「英文字」を少し混ぜただけでパスワード解析の総合計時間に差が出ることが判っています(特に、総当り解析の場合)。更に、桁数が一つ増えただけで解読時間がうんと増えます(「パスワードの強度」が上がりやすくなるということです)。


数字オンリーよりも英文字や記号を上手く混ぜたほうがパスワードの強度が飛躍的に延びるので、暗証番号やパスワードを考えるときはこのようなツールを一度使ってチェックしてみるのがいいでしょう。



IPA(情報処理推進機構)について


  • 「フィッシングサイトを踏んでしまい、個人情報(ログインパスワードやID、住所、名前、携帯の電話番号、メールアドレス)等を抜かれてしまった」

  • 「Webサービス用のアカウントを盗まれて不正に利用された(勝手にネットショッピング、決済等の操作をされてしまった等)」

  • 「心当たりの無い商品が自分のアカウントからオークション出品されていた」



このような被害相談や問合せが「情報処理推進機構(独立行政法人)」へ毎年多数寄せられていることがわかっています。一部の例を除き、このような被害の主な原因は「安易で類推が容易なパスワード・暗証番号等」を各種サービスのログインパスワードとして利用しているケースが多いことが確認されています。


※ 画像引用元:IPA


zippassword.net.150507.3


ZIPのパスワードの強度をチェックしたい場合は、上記のツールと併せて以下の表も使ってみることをお勧めします。パスワード・暗証番号を簡単に解析・解読されないための予防手段と心得ましょう。



zippassword.net.150507.4



IPAには、このように安全なパスワードや暗証番号を考えるためのヒントやフィッシング詐欺・パスワード解読・解除・盗聴などのハッキング被害についての情報も掲載されています。参考にしましょう。


パスワードアナライザーの詳細へ戻る