Pythonでパスワード強度チェッカーを作る場合、文字種や長さだけで判定すると、見た目は複雑でも簡単なパターンのパスワードを「強い」と誤判定してしまうことがあります。この記事では、既存の計算方法を改善し、より現実的な強度評価を行う方法を解説します。
文字種・長さだけの判定の限界
従来の方法では、小文字・大文字・数字・記号の組み合わせと長さから理論上の組み合わせ数を計算し、ビット数に変換して強度を評価します。しかし、このアプローチだけでは、人間が覚えやすい単純パターン(例:abcd1234、Password!)を過大評価してしまいます。
このため、パターン認識や辞書チェックを組み合わせることが重要です。
辞書攻撃・パターンチェックの強化
辞書攻撃対策として、市販パスワードリストやオンラインで公開されている一般的なパスワードリストを参照し、該当する場合は減点します。さらに、キーボード配列パターン(qwerty、asdfなど)、連続文字列(1234、abcd)、繰り返しパターン(abcabc、aaaa)も検出してペナルティを与えます。
Leet変換(a→@、e→3など)の判定も加えると、より現実的な攻撃耐性を評価できます。
ビット数計算の改善
ビット数を単純な文字種×長さから計算するのではなく、パターンのペナルティを適用して有効ビット数を調整します。例えば、辞書単語に数字を追加しただけのパスワードは、理論上のビット数は高くても、有効ビット数を大幅に減らすことで実際の安全性を反映できます。
この調整により、脆弱なパスワードは強度評価が下がり、より正確な判定が可能になります。
評価スケールの再設計
最後に、有効ビット数を基に強度を「弱い」「普通」「強い」「非常に強い」と分類します。閾値は理論値ではなく、有効ビット数や攻撃耐性に応じて設定します。これにより、単純なパターンでも過大評価されず、ユーザーに分かりやすい結果を提示できます。
さらに、ユーザーに改善案を表示することで、より安全なパスワード作成を促すことも可能です。
まとめ
Pythonでのパスワード強度チェッカーは、文字種と長さだけでは不十分です。辞書チェック、キーボードパターン検出、繰り返しやLeet変換の判定を組み合わせ、有効ビット数を調整することで、より現実的で正確な強度評価が可能になります。評価スケールを再設計すれば、脆弱なパスワードを正しく弱いと判定でき、ユーザーに安全性を伝えることができます。
コメント