パスワード・ポリシーについて――“長さ”か“複雑さ”か米マカフィーの教育プログラム「Essentials of Hacking」および「Ultimate Hacking」で筆者が講義する際に詳しく取り上げたい話題の一つは,パスワードのブルート・フォース(総当たり)攻撃(関連記事:Networkキーワード「ブルート・フォース攻撃」とは)とクラック(関連記事:情報セキュリティ入門「パスワード・クラック」)である。筆者は通常,まず生徒たちに「強靱なパスワード・ポリシー」について考えてもらい,その後これらのポリシーに共通する実装や攻撃について分析することにしている。必然的に,生徒が考え出すパスワード・ポリシーは,おおむね以下のようなものとなる。 ・最低1文字の大文字 ・最低1文字の小文字 ・最低1文字の数字 ・最低1文字の記号 ・長さは最低7文字 このパスワード・ポリシーを簡単に解析してみると,以下のようなものとなる。 ・文字セットの数は,おおまかに
