「Zipファイルのパスワードを短くするのは危険だよ！」を計算して確認してみた - 元RX-7乗りの適当な日々

仕事をしていると、何らかの形でパスワード付きのZIPファイルを受け取ることがあるのですが、そのパスワードを教えてもらったときに、思いのほかパスワードが短い(3文字とか4文字とか)ことが多くて驚きます。 何のためにパスワードをかけているのかを考えると、ちょっとした努力で紐解きにくくできるものなら、堅くしておきたいものですよね。 というわけで、短いパスワードのZipファイルがどれだけ危険かを計算してみようと思います。 パスワードに使える文字パターン もっとたくさんある気もしますが、とりあえず前提として、よく使う半角英数字/記号文字ってことで、パスワードに用いる文字列を以下の89種類とします。 abcdefghijklmnopqrstuvwxyz ABCDEFGHIJKLMNOPQRSTUVWXYZ 0123456789 ~@#$%^&*()_+-=[]{},.\"/?:;` パスワードの文字数

[pitworks]

ツールを使ってパスワード付きのZipファイルを解析すると、8文字まで長くすると最速でも129日最遅で31年となり比較的安全。7文字以下は現時点で既に危険

[abc1cba]

8文字

[sdv]

何時まで守りたいのかよく分からないのにパスワードつけてくれって要求も理不尽だよなー。

[zenpou]

自分は12文字ぐらいを使うのが大体。

[wacky]

PikaZipでのパスワード解析速度から、解析されにくい安全なパスワードの文字数を考える。結論：『パスワードは少なくとも8文字以上にしたほうが良さそう』、『全角文字はできるだけ使ったほうが良い』。

[ka-wara]

PikaZipを使った検証

[tetakeke]

短いものはpikazipで数秒で

[t01353ak]

こないだ同期の結婚式二次会用クイズのファイルがパスワード付いていたので解析かけたら解けてウマー

[adsty]

よく見る「８文字以上」は妥当な指定らしい。

[GARAPON]

PikaZipの解析って他のパス解析に比べて結構遅いんだな～

[tacshiss]

pikazipでの速度測定

[sankaseki]

「Zipファイルのパスワードを短くするのは危険だよ！」を計算して確認してみた - RX-7乗りの適当な日々

[KoshianX]

そこでパスフレーズですよ。辞書アタックかけられてもフレーズに含まれる単語数が多ければ組み合わせは膨大

[K-Ono]

それでpikazipだとどんぐらいで解けるんだろう？→ちゃんと書いてあった／あれかね、ハッシュ値を全角にしてパスにするとか

[tailtame]

8文字推奨＋辞書に無い単語。難しい(´・ω・｀)