数字のみ8桁のパスワードは一瞬で解読されるほど危険

WordPress個別サポート

WordPressサイトのハッキング被害が増えていますが多くの原因は「パスワードが簡単すぎる」です。

難しいパスワードの目安として「8桁」という桁数だけが一人歩きしているようですが、同じ8桁でも「数字だけの8桁」はかなり危険です。

また、覚えやすいからといって「英単語+数字2桁」(例:apple12)のようなパスワードを付けてしまうかもしれませんが、相当に危険です。

それは、鍵をかけていないくらい危険です。まあ、中には「鍵をかけなくても、それほど危険ではない」と反論される方もいるかもしれませんが、とにかく危ない!ということです。

といってもイメージできないかもしれないので、パスワードが破られる時間を簡易的にチェックしてみましょう。以下のサイトです。

【参考】How Secure Is My Password?

セキュリティを考慮して本当に使っているパスワードを入力しないように注意してください。たとえば、「数字8桁」とか「アルファベットの大文字と小文字+記号」などのサンプルで試しましょう。

試しに数字8桁を入力してみると、「INSTANTLY」(一瞬で破られる)と表示されます。

数字8桁のパスワードは一瞬で見破られる
数字8桁のパスワードは一瞬で見破られる

アルファベットの大文字と小文字に記号を混ぜると9時間に伸びます。

アルファベット・記号・数字を混ぜると少し安全に
アルファベット・記号・数字を混ぜると少し安全に

完全ではありませんが、これなら少しは安心できるかもしれません。

同じ8桁でも、一瞬で破られる数字8桁のパスワードは絶対に危険です。せめて、アルファベットの大文字・小文字・記号を混ぜた方が良いことがイメージできるでしょう。

アルファベットの大文字と小文字に記号を混ぜた10桁にしてみると、6年かかるらしいです。

アルファベット・記号・数字を混ぜると6年に
アルファベット・記号・数字の10桁では6年に

8桁から少し桁数を増やしただけですが、強度は全く違います。

さまざまなパターンのパスワードの組み合わせ総数や、解読にどれくらい時間がかかるのか、以下のページも参考にしてください。少し古いので時間については参考値ですが。

【参考】総当たり攻撃 - Wikipedia

さて、この記事を読んで早速いろいろなパスワードを変えてしまおうと思った方に。WordPressを使っていると主に4種類のパスワードを扱うことになります。

WordPressのサイト制作で扱うパスワード
  • レンタルサーバーの管理画面のパスワード
  • レンタルサーバーのFTPのパスワード
  • WordPressのユーザーのパスワード
  • データベースのパスワード

このうち、データベースのパスワード(正確にはデータベースユーザーのパスワード)だけは、気軽に変更しないようにしてください。このパスワードはWordPressの設定ファイル(wp-config.php)に記述されたパスワードと連動しています。

ですから、データベースのパスワードを変更した場合は、wp-config.phpの設定も変更する必要があります。しかも、同じデータベース(ユーザー)を使っている全てのサイトに影響します。

変更を忘れると、データベースパスワードを変更した瞬間に「データベース接続確立エラー」になってサイトの画面が真っ白になります。ご注意ください。

詳しくは、以下のページも参考にしてください。

「WordPress初心者は操作禁止!」の“危険なメニュー”ベスト3

WordPressの使い方