3文字または4文字の3文字の単語で構成されるパスワードはどの程度安全ですか？

彼の3つの「3文字」の言葉の主張が安全であることには同意しなければなりません。彼の記事で彼は言う：

つまり、500 x 500 x 500 = 125,000,000（1億2500万）の可能性。

多分そんなに聞こえないかもしれませんが、1秒あたり24時間、1日24時間チェックできるとしたら、それらすべてを通過するには約60日かかります。

まず第一に、パスワードの解読ツールとハードウェアの組み合わせは、特に組み合わせのリストが事前に生成されている場合、毎秒20以上の速度で解読できます。その上、これらのパスワードのハッシュが取得されると、オフラインのクラッキング攻撃が実行される可能性があります。これは、攻撃者が世界中でいつでもパスワードをクラッキングしようとし、実際に60日かかった場合、やる気のある犯罪者にそれは何もありません。

単純な事実は、今日では9文字のアルファベットが短すぎるということです。

12文字を使うと見栄えがよくなりますが、アルファベットのみを使用するのは最善ではありません。

1日の終わりに、私はパスワードマネージャーを使用して、英数字、特殊文字、大文字と小文字を組み合わせた20文字以上の一意のパスワードを生成するのが好きです。

@ nd510が彼の回答で述べたすべてに同意します-9つのアルファベット文字はセキュリティで保護するには十分なエントロピーではありません。また、パスワードマネージャーを使用して、大文字と小文字、数字、記号を組み合わせた一意のパスワードを作成します。

ただし、dinwryranmayのようなパスワードは、攻撃者がパスワードの生成方法を知らない特定の状況でのブルートフォース攻撃に対して弾力性があることを追加したいと思います。これは難読化によるセキュリティであり、賢明ではありません。説明します。

パスワードに9文字のアルファベットを使用していることを攻撃者が知らない場合、ブルートフォースメソッドは9文字のアルファベットだけを生成するのではなく、すべての長さの英数字と特殊文字をすべて含みます。 dinwryranは一般的なパスワードディクショナリに含まれていないため、通常のディクショナリやRainbow攻撃は機能せず、攻撃者はブルートフォースを強制されます。パスワードがアルファベットの9文字であることを攻撃者が知らない場合、攻撃が成功する可能性は低いです。

つまり、難読化によるセキュリティはセキュリティではありません。 dinwryranのようなパスワードの使用は、（a）攻撃者がパスワードの作成方法を知らない場合、および（b）システムがはるかに長いパスワードを含み、文字を含む場合にのみ安全です。 dinwryranは、計算の複雑さではなく、攻撃者が知らないためにのみ安全です。

一方、パスワードの生成方法を知っている攻撃者にとって、myおよびnd510のパスワード生成方法は、同様に安全ですandは計算上安全です。

いいえ、dinwryranは安全ではありません。 zxcvbn または構築されたもの ニューラルネットワークを使用 などの最新の強度メーターを使用してテストできます。

結論として、10文字未満のパスワードは安全に使用できません。 @ nd510が提案したように：パスワードマネージャーを使用して、ランダムな英数字の文字列を生成します。上記のウェブサイトリンクの違いをテストします。