あけましておめでとうございます。 初投稿です。

社会人になってからというもの、
メールでパスワード付のZIPファイルを送ることが日常的になってきました。
正直、パスワードを別メールで送るのは面倒です。
セキュリティ的にも分けて送るのがいいとは思いますが。。。

今回はそのZIPのパスワードがどれくらい安全なのかを検証してみたいと思います。
やることは簡単で、タイトルの通りブルートフォース(総当たり)でZIPファイルのパスワードを解析してみるってだけです。

使ったもの

今回は以下のツールを使用します。

• Pika Zip
  ZIPのパスワードを解析するツールです。
  インストール不要で使えます。

• パスワード生成（パスワード作成）
  色んな設定でパスワードを生成できるツール(Webサイト)です。

Simple is the best.

準備

以下の要件でパスワード付のZIPファイルを作成しました。

1. アルファベット
2. アルファベット + 数字
3. アルファベット + 数字 + 記号

※全て半角で文字数は4文字とします。

また、Pika Zipは以下の部分だけ設定を変えました。
他はデフォルトのままです。

検証

アルファベット

一瞬でした。

わずか3秒。

アルファベット + 数字

これも一瞬でした。

4秒。。。

アルファベット + 数字 + 記号

これも一瞬。。。

7秒。。。

4桁なんて何の意味もないですね。。。

パスワードですが、アルファベット + 数字 + 記号の組み合わせだと、

• アルファベット...52文字 (小文字 + 大文字)
• 数字.............10文字
• 記号.............16文字 (/*-+.,!#$%&()~|_)*1
  52 + 10 + 16 = 78文字 になります。

4桁だと
78 ^ 4 = 37,015,056パターン ですね。

8桁だったら
78 ^ 8 = 1,370,114,370,683,136パターンです。

僕のPCで秒間6,400,000個のパスワードを解析できるみたいなので、
8桁だとだいたい6.8年ぐらいで全組み合わせを解析できるということになります。
もっと力強いマシンならもっと早く解析できますね。

まとめ

あまり短いパスワードはやめときましょう。

あと上で書いた組み合わせですが、桁数が固定の場合での値なので、
何桁か分からない場合は若干多くなるかと思います。
(4桁で 78 ^ 1 + 78 ^ 2 + 78 ^ 3 + 78 ^ 4 = 37495770パターン)
なので、あまりパスワードの桁数は口外しないほうがいいということですね。