パスワードエントロピー
パスワードエントロピー とは何ですか?
パスワードエントロピーパスワードの予測しにくさをビット単位で表す指標で、エントロピーが高いほど攻撃者に必要な試行回数が多くなる。
パスワードエントロピーは、パスワードを推測する難しさを数値化したものです。サイズ N の文字集合から長さ L の文字列を一様ランダムに選ぶ場合、エントロピーは L * log2(N) ビットです。人間が選んだパスワードは、辞書単語、予測可能な置換、再利用パターンの影響で実効エントロピーが大きく下がることが、クロード・シャノンや後続の暗号研究で示されています。NIST SP 800-63B の付録 A も、ビット数による評価は実務上弱いモデルであるとし、構成ルールよりも長さと漏えいリスト照合を優先するよう推奨します。実用的には、EFF が提唱するランダムな Diceware 単語 4 つのパスフレーズ(約 51 ビット)とパスワードマネージャーの併用が現実的な解です。
● 例
- 01
94 文字のアルファベットから生成された 12 文字のランダムパスワードはおよそ 78 ビットのエントロピーを持つ。
- 02
EFF Diceware による 4 単語のパスフレーズは約 51 ビットで、ほとんどのオフライン攻撃に耐える。
● よくある質問
パスワードエントロピー とは何ですか?
パスワードの予測しにくさをビット単位で表す指標で、エントロピーが高いほど攻撃者に必要な試行回数が多くなる。 サイバーセキュリティの ID とアクセス カテゴリに属します。
パスワードエントロピー とはどういう意味ですか?
パスワードの予測しにくさをビット単位で表す指標で、エントロピーが高いほど攻撃者に必要な試行回数が多くなる。
パスワードエントロピー はどのように機能しますか?
パスワードエントロピーは、パスワードを推測する難しさを数値化したものです。サイズ N の文字集合から長さ L の文字列を一様ランダムに選ぶ場合、エントロピーは L * log2(N) ビットです。人間が選んだパスワードは、辞書単語、予測可能な置換、再利用パターンの影響で実効エントロピーが大きく下がることが、クロード・シャノンや後続の暗号研究で示されています。NIST SP 800-63B の付録 A も、ビット数による評価は実務上弱いモデルであるとし、構成ルールよりも長さと漏えいリスト照合を優先するよう推奨します。実用的には、EFF が提唱するランダムな Diceware 単語 4 つのパスフレーズ(約 51 ビット)とパスワードマネージャーの併用が現実的な解です。
パスワードエントロピー からどのように防御しますか?
パスワードエントロピー に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
パスワードエントロピー の別名は何ですか?
一般的な別名: パスワードのエントロピー, 推測エントロピー。
● 関連用語
- identity-access№ 795
パスワード
利用者がシステムに対して身元を証明するために提示する秘密の文字列。伝統的に単一要素認証の主流。
- identity-access№ 798
パスワードポリシー
ユーザーパスワードの生成、保存、更新、検証に関するルールを文書化したもので、セキュリティと利便性のバランスを取るために定められる。
- identity-access№ 797
パスワードマネージャー
強力かつ一意な資格情報を生成・保管・自動入力するアプリケーション。マスターパスフレーズで保護され、近年は passkey との併用も進んでいる。
- identity-access№ 884
漏えいパスワード (Pwned Password)
既知の情報漏えいに含まれていたパスワード。Troy Hunt 氏の Have I Been Pwned により公開されており、ユーザーの秘密として使用してはならない。
- cryptography№ 059
Argon2
2015 年の Password Hashing Competition で優勝し、RFC 9106 に標準化された、メモリ消費型の最新パスワードハッシュ関数兼 KDF。
- cryptography№ 087
bcrypt
Blowfish 暗号の鍵スケジューリングを基にした適応的パスワードハッシュ関数で、1999 年に Provos と Mazières が設計した。