コンピュータセキュリティ第四回 S07a1054 中津拓前回からパスワード文字数の基準をつけ、平均のデータを調べること。  総当たりに対する対策としてパスワード入力に制限を与えるか、時間を制限すること。  総当たりに着目した理由  パスワード・ポリシーについて ――“長さ”か“複雑さ”かという調査結果から一般的に，パスワードの長さはその複雑さよりも勝る。という結果をCain ＆ AbelというWebアプリケーションでパスワードを，総当たりで無理やり解読するのにかかる時間を調べた記事を読んで決めました。 8文字以上が基準の理由パスワードで入力できる種類は、アルファベット小文字と英数字、それに特殊記号を合わせても、40個ほどしかありません。  40個中の4文字だと、考えられるパスワードの種類は40の4乗で256万通り。6文字なら約 41億通り。8文字なら、全部で約6兆6千億通り。このように、確率的に見てもまずないだろうと見られているのが8文字と言われていて何かに関連づけても安心だからです。  パスワード文字数の基準  パスワードは8文字以上で，3カ月以内に変更する。業務で利用しているパソコンにおける，パスワード運用の平均的な姿である。この結果はItproの2008 年4月8日から4月15日にかけて「業務で利用しているパソコンの情報セキュリティ運用に関する調査」から2030人から有効回答を元に決めました。平均データ  パスワードを変更  パスワード文字数組み合わせる文字の種類組み合わせる文字の種類から  組み合わせる文字の種類で，最も多かったのは「アルファベット（小文字），数字」（37.2％）で，全体の3 分の1以上を占めた。そしてこのデータから、最低でも2種類，3種類の文字を組み合わせるのが一般的であることが分かる。考察 3カ月以内に変更する8文字以上のパスワードでなおかつ２～３種類の文字を組み合わせることで安全だとわかりました。例えば、3回連続でログインに失敗すると翌日までログインの試行ができなくなるようにしておけば、総当たりで考えたとして1年掛けてもたったの1000 回強しか試行できなくなるからです。  これから学内でもし自分が働いた時、業務用パソコンの情報セキュリティ運用に関する調査のためにアンケートを取ります。  Itproのアンケートと今回のアンケートの情報セキュリティ運用に関する調査の比較します。  比較結果から傾向と変化を考察し、調査結果にしたいと思います。  調査結果からこれからの比較的予測されにくいパスワードについてまとめる。  情報セキュリティアンケート     しシワあてョーないンドたまををはす使ア自かっプ分？てリの暗ケパ号ース化う記（類組も号アはみの、ル何合）数フ文わ字ァ字せのベでるうッす文ちトか字で大？の使小種、 8 パ文ス字ワ以ー下ドでのす文か字？数は月パごスとワにーしドま変す更かを？何カアンケートサイト下記のURLから回答できます。  http://creatorof.dip.jp/emquete/emqueteD etail/15663/  下記のURLから回答結果を見ることができます。  http://creatorof.dip.jp/emquete/emqueteR esult/15663/  参考資料パスワード・ポリシーについて ――“長さ”か“複雑さ”か  http://itpro.nikkeibp.co.jp/article/COLUM N/20071119/287485/  ネット上のパスワードが8文字以上の理由  http://written.4403.biz/archives/2008/07/p assword8.html 