パスワードエントロピー：予測不可能なパスワードの価値

Updated: 08/29/2024 - 7:59

Time to read: 3 minutes

パスワードエントロピーは、パスワードがどれほど予測不可能であり、したがって推測不可能かを示す尺度です。

ほとんどの人々は、エントロピーテストに合格するパスワードを使用していません。たとえば、2021年に最も多く使用されたパスワードは、「123456」と「qwerty」でした。

パスワードエントロピーとはどのようなもので、どのように測定するのかを知ることで、重要な情報を攻撃から保護する方法を理解できます。

ここでは、このトピックを掘り下げていきましょう。

パスワードエントロピーとは？

ユーザーはデータを保護しようと考え、ハッカーはデータを窃取しようと考えます。では、どうすれば強力な保護壁を築くことができるのでしょうか。そこで考慮しなければならないのがパスワードエントロピーです。

パスワードエントロピーは、パスワードの解読がどれだけ難しいかの尺度です。ハッカーは、パスワードを解読するため、以下のような手段を試みる可能性があります。

単純な推測：「password」などのよく知られたパスワードを使用して、アクセスのロックを解除します。
ブルートフォース：数学的確率に基づいて、毎分数十の推測を送信するプログラムを使用します。
調査：ソーシャルメディアアカウントやオンラインのプレゼンスを詳しく調べ、住所、ペットの名前など、パスワードに使用されることの多いデータポイントを見つけます。

パスワードエントロピーは、これらのハッキング方法が機能して侵入が成功する可能性を測定します。

ITマネージャーはパスワードエントロピーについて熟知しており、複雑なコードを従業員に強制的に選択させるための規則を作成しています。

よく知られたガイドラインによると、パスワードは次の条件を満たす必要があります。

割り当てられたものであること：システムがパスワードを割り当てる（ユーザーがパスワードを任意に選択できるのではない）場合には、パスワードを短くすることが可能です。
長いものであること：ユーザーがパスワードを選択できるようにする場合には、8文字以上で設定する必要があります。
編集されたものであること：ユーザーが選択できない一般的な（安全でない）パスワードのブロックリストを作成します。

管理する側は、こうしたルールに基づいてガイドラインを厳格化したいと考えがちです。しかし、パスワードを簡単に記憶できなければ、従業員はパスワードを再利用する、書き留める、共有するといった方法で網の目をくぐろうとします。

理想的には、パスワードエントロピーについて従業員を教育し、安全で覚えやすいパスワードを選択できるようにします。

パスワードエントロピーの評価には計算式を使用します。この式は複雑に見えるかもしれませんが、基礎となる概念は容易に理解できます。

パスワードエントロピーは、一般的にビット単位で表されます。スコアが低ければ、解読が非常に簡単なパスワードであることを示します。スコアが高いほど、ハッカーにとっては解読が難しくなります。

E = log₂(R^L)

エントロピーを強化するには、次の2つのステップを実行します。

スコアが60以上になるパスワードを指定するように目指しましょう。ただし、長く複雑にしすぎて覚えられないようでは本末転倒ですので、注意してください。

Oktaは、包括的なパスワード管理を重視しています。推奨事項の詳細については、こちらをご確認ください。また、最善の対策となるパスワードレスについて、ホワイトペーパー「Move Beyond Passwords」をご覧ください

10 Most Common Passwords in 2021 （2021年4月、Becker's Health IT）