http://ophcrack.sourceforge.net/tables.php
ふと、今ならどの程度の長さのパスワードが妥当なのかなと思い見てみた。
ophcrackは有名なWindowsのログインパスワード解析ソフトです。レインボーテーブルというデータベースを使用することで効率よくパスワードの解析を行い、ターゲットとなるWindowsのハードディスクを接続した状態で起動すると数分~数時間でパスワードを調べてくれます。
提供されているレインボーテーブルで一番大きな物は Vista_eightXLで$949で販売されています。このテーブルを使えばWindowsのログインパスワードで大文字、小文字、数字、記号 を使ったパスワードの場合、8文字までは、短時間で解析可能って事になります。つまり、大文字、小文字、数字、記号 を使った場合は、最低でも9文字以上のパスワードにしないと気休めにもならないことを意味します。
会社のグループポリシーとしてパスワードを定める場合も9文字で良いのかというと、そこは微妙なところです。大文字、小文字、数字、記号 を使った良くある(クラック用のパスワード辞書に載ってるような)パスワードの場合、12文字まで対応したレインボーテーブルが提供されているからです。グループポリシーで「 複雑さの要件を満たす必要がある」に設定したとしても、 大文字、小文字、数字、記号のうち3種類以上を使うことを要求するだけで、パスワード辞書に載っているようなパスワードを設定出来なくなるわけではありません。最低でも13文字以上のパスワードを義務づけないと容易にクラック出来るパスワードを使われる可能性を排除できない事になります。
でも現実問題として13文字以上で大文字、小文字、数字、記号を使ったパスワードを諳んじたり、頻繁に入力するのはかなり厳しいですよね。現実的なところで、多要素認証でのローカルログイン導入が必須となりつつあるって事かな。Windows10なら顔認証とか、スマホ連携とか標準で対応できるしね。