同研究では、第三者がユーザー名とパスワードを推測してWebサイトへのログインを試みる「オンライン攻撃」と、第三者があるサイトのパスワードデータベースを盗むなり購入するなりして手に入れてから解読を試みる「オフライン攻撃」において、パスワードの有用性を検証した。

　オンライン攻撃は通常、コンピュータプログラムが人間よりはるかに高速でパスワードを推測し、入力してログインの試みを繰り返す。しかし、異常な回数のログインの試みは、サイト管理者にすぐに気づかれるほか、サイトに負荷がかかりすぎでダウンさせてしまう可能性が高い。そのため、推測の速度や回数を高めたところでそれに見合った攻撃の成果は得られない。

　論文によれば、約100万回の推測で破られないパスワードなら、オンライン攻撃に耐えられるという。100万回と聞くと大きい値のように思えるが、数字と英文字を5つランダムに組み合わせた「03W3d」のような短いパスワードが該当する。

　一方、オフライン攻撃では、攻撃者は標的のパスワードの解読に全力で挑む。オフライン攻撃の試みに対抗するには100兆回の推測に耐えるパスワードが必要だという。しかし幸いなことに、オフライン攻撃はオンライン攻撃より成し遂げるのが難しい。攻撃者はWebサイトのバックエンドシステムにアクセスする必要があり、それも検知されずに実行しなければならない。パスワードを解読して利用するチャンスは、サイト管理者がアカウントをリセットするまでの間に限られる。

　オンライン攻撃に対抗できる100万回とオフライン攻撃に対抗できる100兆回の間は大きな隔たりがあるが、この中間の強度は無意味だ。オンライン攻撃には強いが、記憶するのが困難になるだけで、実質的なセキュリティ向上にはつながらない。

　そこで論文の著者らは企業や組織に対し、エンドユーザーに強力なパスワードを使わせることに労力を費やすより、適切なパスワードデータベースの保護や漏えい検知といったセキュリティ強化に投資するべきだと提案している。

　ユーザーに対しては、重要ではないアカウントや影響が低いアカウントのパスワード管理には手間をかけず、高価値のサイトに焦点を絞ってパスワード管理に取り組むようアドバイスしている。

引用：
・強力なパスワードの作成は本当に意味があるか - 世界のセキュリティ・ラボから：ITpro Active
http://itpro.nikkeibp.co.jp/atclact/active/14/425524/120900022/?act05