色々な場面で登場するパスワード。
登録先のシステムによって、文字種や文字数などの規定は様々ですが、最低何文字、という規定はあっても、最大文字数はあまり明記されていません。
少し調べてみると、最大128文字程度なことが多いようです。
しかし実際にはそこまで長くする人はいないので、最大文字数はわざわざ表示する必要はないだろう、ということでしょう。

パスワードは長くなればなるほど安全になる、というのはわかると思いますが、反面長くなればなるほど、覚えたり入力するのが面倒になり、ユーザーのストレスが増加することになるので、「必要十分な桁数があればいい」という考え方でいいと思います。大抵の人はシステムが要求する最小桁数で設定したり、現時点でスタンダード的になっている8桁のパスワードで設定することが多いと思いますが、では本当に安全な桁数は何桁なのでしょうか?

パスワードは長くなればなるほど安全になる、というのはわかると思いますが、反面長くなればなるほど、覚えたり入力する手間が面倒になるので、「必要十分な文字数があればいい」という考え方でいいと思います。
たいていはシステムが要求する最小文字数で設定したり、現時点でスタンダード的になっている「8文字」のパスワードで設定することが多いと思いますが、では本当に安全な文字数は何文字なのでしょうか?

これに関しては「ブルーフォースアタック」と言われるパスワードの総当たり攻撃を、一般的なPCレベルのマシンで行った場合の実験結果が、様々な研究機関やセキュリティ関連企業などから発表されています。
それによると、ZIP圧縮時にパスワードを設定して生成したZIPファイルのパスワード解析にかかる時間は以下の通りとなっています。

ZIPパスワード検証結果

※グリーンの部分が安全だと思われる文字数
利用文字種\桁数 7桁 8桁 9桁 10桁
英小文字のみ     (26文字種) 2秒 52秒 22分 10時間
英大小文字+数字   (62文字種) 15分 15時間 39日 7年
英大小文字+数字+記号 (96文字種) 5時間 20日 5年 527年

dit 2014年発表データより参照(http://www.dit.co.jp/report/security_report/forensic_center/20141001.html

この表を見る限り、現時点でメジャーな「8桁パスワードは十分安全とは言えない」ということになります。
さらに英小文字だけだと10文字でも10時間で解析されてしまうので、とても安全とは言えず、英大文字+小文字+数字の組み合わせで10文字(解析に7年)以上、英大文字+小文字+数字+記号の組み合わせで9文字(解析に5年)以上ではないと、安全とは言えない、という結果が出ています。
攻撃者が解析に使うPCの処理速度が上がれば、解析に要する時間はさらに短縮することですし・・

実際にはオンラインサービスへの攻撃の場合にはもっと時間がかかります。
複数回のパスワード間違いなどでアカウントロックがかかるようになっていたりするので、この表の解析時間だけで危険性を警告する無理があるのは事実です。
それにしても8文字という文字数では、やや不安になりますね・・・。

そこで、パスワードの文字数だけで安全性を高めるのではなく、新たな技術を使って安全性を高める新方式が開発されています。
例えば、「ワンタイムパスワード」や「指紋認証」や「顔認証」、「ICカード認証」などなど・・・これらについては、せぐなべの別の記事やまた別の機会にご紹介します。