（パスワードの）サイズは重要か？

InfoWorldのセキュリティコラムニストRoger A. Grimes氏は、このメーリングリストとInfoWorld上の自身のブログの両方で、最高100ドル（と賞品）の懸賞問題を掲載した。3つのパスワード問題のどれか1つを解いた者に賞品または賞金が贈られる。Grimes氏は、パスワードを長くすればそれだけで十分なパスワード保護になると主張している。

Grimes氏は以下のように書いている。

言っておくが、複雑なパスワードが強力なパスワードになることはわかっている。だが、わたしが主張したいのは、長さも同じくらい役に立つということだ（複雑さを保証できない場合はなおさらだ。そしてそれはたいていは保証できない）…。パスフレーズ解読ソフトウェアが普及していないならなおさらだ（そしてそれは普及していない）。

これはセキュリティに関わる人々にとってはたいへんなことで、パイ投げ試合の材料を提供するようなものだ。だが、それより重要なのは、もしGrimes氏の主張が正しいとしたら、もっとたくさんの人がこれまでより強力なパスワードを使うようになるだろうということである。なにしろ、覚えにくい無意味な文字の羅列ではなく、わかりやすい言葉をパスワードにできるからだ。パスワードの作成と記憶の難易度こそが、強力なパスワードを使う上での最大の障壁になっているといえるだろう。

これまでは、複雑にする、つまり、大文字、小文字、数字を必ず含めることが、強力なパスワードを作る最善の方法だと信じられてきた。複雑にすることの問題は、パスワードの不正解読が困難になると同時にパスワードを覚えておくのも困難になるという点にある。

複雑でないパスワード、つまり、名前や単語からなるパスワードは使わない方がよいとされてきた。辞書攻撃で簡単に解読される危険があるからだ。だが、長さが武器になるのなら、パスワードの代わりにパスフレーズを使うことができ、普通の単語でもそうでなくても、文章を標的にする辞書攻撃はないから、”theraininSpain”や”arosebyanyothername”のようなパスフレーズは長いということでかなり強力になり、しかも簡単に覚えられる。

懸賞問題の第1問は以下のとおり。

第1問（10文字の複雑なパスワード）以下のNTハッシュに該当するプレーンテキストを最初にわたし（Grimes）に電子メールで送ってきた人に賞品を贈る。

簡単な問題：0570B4C2CC734E230DE9B67C868FAE04

パスワードクラッカには普通与えられない手がかり：
1. ぴったり10文字である。
2. 英語の辞書にある単語は含まれないが、車のナンバープレートとなった2つの単語が元になっている（したがってハイブリッド攻撃が必要）。
3. 中程度の複雑度を持つが、英字と数字以外は含まれない。

さあ、Cain & AbelかJohn the Ripperを入手して挑戦してみよう。100ドルを獲得できるかもしれない。第2問と第3問、およびルールと賞金の詳細については、上のリンクのブログサイトから参照できる。