パスワードの長さについて

パスワードについては、ここ１０年くらい「英（大小）・数字・記号を組み合わせて8桁以上、かつ3ヶ月に一度変更」と言われてきました。
IPA（情報処理推進機構）が2011年に提唱して以来、一般的にそのように考えられてきました。

しかし、情報に対する攻撃技術は年々進歩しています。
PWを総当り攻撃する場合、2008年ごろだと「英(大小)+数+記号で8桁」ならば約1000年かかると計算されていた（出典：IPA)のですが、マシンの高速化が進み、現在では2日で破られると計算されます。（秒間300億アタックと計算。鍵空間は文字種の桁数ベキ乗=>英(大小)数記号＝（52+10+32）^桁数 ）

また「定期的なパスワードの変更」というルールだと、単純なパスワードを使いがちだったり、推測されやすいという問題があることがわかってきました。

例えば、尼崎市USB紛失事件では、市が「英数13ケタのパスワードを年1回更新している」と発表したのですが、ネット民は「あぁ、”amagasaki2022”なんだね。年1回更新とか言っちゃダメだよｗｗ」と騒ぎになりました。

こうした背景でパスワードの長さについての推奨が変わってきました。
IPAは、「できるだけ長く」「複雑で」「使い回さない」ことを奨めています。
具体的な基準としては、各セキュリティ機関で次のように推奨見解を出しています。

●IPA （情報処理推進機構）　　　　：10桁以上、英（大小）数字＋記号の混合
                                                      かつ、複数サイトで使いまわさない
●内閣サイバーセキュリティセンター：10桁以上、英（大小）数字＋記号の混合
●JPCERT/CC                               ：12桁以上、英（大小）数字＋記号の混合

かつ、
「自分・家族の誕生日・電話番号など、自分に係る文字列・数字を使わない」
「意味のある文字列を使わない」
「頻繁に使われている文字列は使わない」
　　例：1qaz2wsx　←打ってみれば使いやすいPWとわかるでしょ？(^_-)-☆
などを守りましょう。

とはいえ、10ケタの複雑なパスワードを覚えるのは大変です。
そこで、
●攻撃者の手に渡り解析の時間を与えてしまうリスクの高い
　メールの添付ファイルや媒体で郵送するファイルは、１０桁
●施錠管理し、他人に触らせることのないPCや端末のパスワードは、８桁
とメリハリをつけても良いでしょう。