心に留めておきたいのは、「悪意のあるハッカーに見破られないもの（推測されにくいもの）＝強いパスワード」が本質であるということ。「長い文字列」や「デタラメな文字列」は、あくまでも二次的な評価であることを踏まえておきましょう。

では、悪意のハッカーはどのようにして他人のパスワードを推測するのでしょう。 一般的には、まず最初に「最弱のパスワード」を洗い出します。それは当たり前のことですが「パスワードなし」の状態です。被害にあったユーザをみると、パスワードを設定していなかったケースが意外に多いのです。もしくは、一部でパスワードを設定しているけど、Windowsを立ち上げる際にいちいち入力するのは面倒、自分以外は誰も利用しないだろうからいいや、といったケースも多いはずです。これが危険のはじまり。オンラインを介してパソコンをのっとられたり、大切な情報を盗まれることにつながりかねません。

次に狙われやすいのが、「IDとパスワードが同じ」場合。誕生日などの「数字のみ」の場合や、辞書に載っているような「名詞や氏名など推測しやすい文字列」も危険です。悪意のハッカーは、こうした「弱い」の設定のユーザを自動で巡回して、パスワードを盗む傾向にあります。「僕の飼っている犬の名前なんて誰も知らないだろう」と思っていても、実際には「弱い」パスワードであることが多々あるのです。

さらに「aaa」の次は「aab」「aac」といったようにアルファベット順で試してゆくのではなく、「人間がつけやすい」文字から効率よく探るツールも駆使します。たとえば、人間がつけやすい一番最初の文字は「a」ではなく「e」。これは悪意を持つハッカーたちが長い間、膨大なデータを積み重ねた統計で、非常に優秀なものです。

こうしたツールを駆使すれば、どんなデタラメな文字列のパスワードでも「いつかは」解明してしまいます。言い換えれば「強い」パスワードとは、解明するまでに長い時間を要するもの、といえるでしょう。