lifehackerに「パスワードがわからなくてもWindowsにログインする方法(と対策)」という記事がありました。そこで紹介されているophcrackというパスワードを探し出すソフトを試しに使ってみました。
ophcrackにはいくつかバージョンがありますが、LiveCD版が扱いやすいと思います。ダウンロードしたisoファイルをCDに書き込んで解析したいパソコンをこのCDから起動します。表示されるメッセージに従って操作するとそのパソコンのWindowsのユーザー一覧が表示され、パスワードの解析が始まります。パターンファイルの様なものからの組み合わせなどを試しているようです。
アルファベット8文字(数字含まず)のパスワードを設定していましたが、30分足らずで解析が終わりました。
CDによる起動ができればパスワードも時間の問題だと言うことですが、30分という時間が思いのほか短時間だという印象を受けました。この時間はパスワードの複雑さとPCの処理能力によって左右されますが、もうちょっと時間がかかってしまわないと、鍵としての役目を果たしません。
銀行ATMのように3回間違えるとロックされるという仕組みもできないことは無いでしょうが、OSを超えて解析されると防ぎようがありません。また、通常のPCの利用ではロックを解除する管理者をそもそも置くことができません。
複雑なパスワードを設定するとWind0wsにログインするたびに入力を求められるので便利さとの兼ね合いになります。しかし、オフィスなど人の出入りのある場所のPCはこのような方法でログインされる危険があるので、できるだけ複雑なパスワードが望ましいといえます。