パスワードを決める時、推測される文字列を使っていませんか?クラッカーがターゲットのコンピュータに設定されたパスワードを破る時、ブルートフォースアタック(総当たり攻撃A~Z・0~9まで総当たり)でパスワードの試行を試みると膨大な時間がかかるので、辞書に載っている単語や良く使われるパスワードのデータベースを元にディクショナリアタック(辞書攻撃)をしかけます。
自分では分かりにくい英字を入力したけれど実は辞書に載っている知らない英単語だった。 自分だけが思いついたパスワードが、みんながよくパスワードとして使っているもので、パスワードを破られてしまった。などとならないように自分の設定しているパスワードの強度を調べてみましょう。pwscore コマンドは、パスワードのクオリティをチェックしてくれるツールです。pwscore コマンドは、libpwquality-tools に含まれているので以下のコマンドでインストールします。
$ sudo apt -y install libpwquality-toolspwscore と入力後、パスワードを入力します。apple pen など単純な単語の組み合わせや、キーボードの左上から2列の羅列は辞書とマッチして警告が表示されます。
$ pwscore
applepen
パスワードの品質チェックに失敗しました。
このパスワードは辞書チェックに失敗しました。 - 辞書の単語に基づいています
$ pwscore
1qaz2wsx
パスワードの品質チェックに失敗しました。
このパスワードは辞書チェックに失敗しました。 - 辞書の単語に基づいています意味のない文字の羅列を入力すると 0-100 の間で強度のスコアーを出力してくれます。
$ pwscore
ueiwpjnkvdsa
68
$ pwscore
_?><Oeui('&qsdbK^koE
100libpwquality-tools には、難解なパスワードを自動生成してくれる pwmake コマンドも含まれています。pwmake <エントロピーのビット数> を入力すると難解なパスワードを自動生成してくれます。
$ pwmake 56
@cm3GraH@qka
$ pwmake 128
0J8Yr0xaM=@c=erYwenys5ob-azなお、エントロピーの最小ビット数は56に設定されているので56以下の値を設定しても56がデフォルトで設定されます。
