【IT】パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
パスワードを安全なものにするためには、アルファベットの場合は大文字と小文字を入り交ぜたり、数字や記号を加えたりすることが効果的だと考えられているわけですが、かつてこのルールを提唱していた専門家はいま、「大文字も数字も記号も、意味がなかった」と過去の発言の誤りを認めて後悔していると語っています。 驚きの後悔をWall Street Journalに語ったのは、かつてアメリカ国立標準技術研究所の所長を務め、現在は退任したビル・バー氏です。バー氏は、2003年に発表された安全なパスワードを作るためのガイドラインに携わっていた人物で、その中では「大文字と小文字を併用すること」「数字と記号を混ぜること」「定期的にパスワードを変更すること」という方法が推奨されていました。 ここで推奨されていたのが、例えばパスワードに「password」という言葉を設定していた場合だと、大文字を入れて「paSSworD」とする方法や、記号や数字を入れて「pa$$w0rD」と変化させるというもの。しかし、これらの方法は当時の現状を調査した内容に基づいているものではなく、1980年に書かれた論文の内容をもとにしたものだったため、その信頼性はあまり高くなかった模様。 また、あまり頻繁にパスワードを変更するのも良くないどころか、非効率的で、さらにはハッカーにパスワード変更のパターンを見抜かれてしまう危険すら生じるとのこと。現在72歳というバー氏はWSJに対して「私がしてきたことの多くを、今は後悔しています」と語ったそうです。 これまで推奨されてきた方法は、おそらく誰でも一度は耳にしたことがあるものであり、場合によってはパスワードを作る時に「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることもあるほど。本人自らが否定してしまった「パスワードの作り方」ですが、これとは別に推奨されているのが、複数の単語をつなげて一つの文字列にする、というもの。例えば「I want to go out and eat some ramen」(外に出かけてラーメンを食べたい)という文章をギュッと圧縮して「iwanttogooutandeatsomeramen」というふうにすれば、効率よく、しかも忘れにくい長文のパスワードを作ることができる、とのことです。 しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、別の対策を併用することも重要といえます。 http://gigazine.net/news/20170810-password/ 銀行や証券会社のログインパスワード数ヶ月ごとに変えろと しつこく出るが無視して同じもの使い続けてるよ。頻繁に変えたほうが 覚えやすい安易なものにする事になり危ないこと認識してるから。 更に言えば頻繁にパスワード変えさせるのも意味がない 重要なパスワードは自作のアプリケーションで自動生成してるわ 量子コンピュータが一般的に普及しだしたらどうなるんだろな 量子暗号鍵とか言い出してるけども一般的に普及すんのかな 今の暗号鍵なんて一瞬で解かれることになるし 解析するより何かの原因で漏れたパスワード使った方が労力が少ない 日本語の文章をローマ字入力してる Haikyoumoshigotodesuyo とか、 orenopasokonnougokashikata とかにしてる。 忘れない為に ある程度自分のルールで入れたいのに制限がんじがらめで慣れないパスワード作らされると、 結局どっかでメモで残すしかなくなる つうかうちの社内セキュリティルールがうざいのはお前のせいだったのか アマゾンや楽天はワンタイムパスワード採用してくんねーかな プロバイダのログインパスワードは 初期パスワードのまま使い続けて15年ですがなにか? そんなことよりパスワードを毎回忘れる設定にして毎回書き直して行くオレ ふざけて、しゃちょうしね、と入力したら、 「既に使用されているパスワードです」、って返されて笑った >>19 Amazonは二重認証だからまだ良いだろう ガイドライン作った時に確たる根拠がある訳でなかったのと同様、意味がなかったとする意見もやはり確たる根拠がなかったりして。 よかった大文字入力するのめんどくさいから全部小文字にしてたんだw >>6 そうか、そのてがあったなw パスワード生成管理ソフトにウィルス入れとこ パスワ−ドを あなたのことがとくていできました とかにしておけ 人は記憶型と思考型に大別できる 総当り攻撃には1日のログイン回数を制限するだけである程度防げる そして日本限定だが漢字やひらがなを使えるようにすればいい。桁違いの組み合わせ数になるからね パスワードを3つにすればいいんじゃないかな 1つ目認証、2つ目認証、3つ目認証でやっとログイン 銀行関係とかハッキングされるとやばいものに限定してね 今時ブルートフォース通るとこなんかまずないから、複雑ならいいってもんでもない。 流出したときは問題になるので、サイトごと、サービスごとにパスワードを変えておくことは必要。 この長い文章方式も駄目だと思う、パスワード解析するのに仮に最初の8文字で 何らかの単語が発見された場合、総当たりの前に長文のデーターベース参考にして アタックされたら破られるスピードは大差ないかと >>1 は?なにこのくそ記事。具体的な理由は? 文字数が増えることは、総当り攻撃に対して有効としか思えないんだけど。 >>1 おまえのせいで 今じゃ嫌がらせかと思うほどに めんどくせーくらいに 大文字小文字数字混在強制のパスワード社会になってんだぞ。 反省しろ。 パスワードを取得するのは手っ取り早いけど、256bit程度の暗号なら2日もあれば完全解読できる時代に 何の意味があるのかわからないわ バックドアが仕込まれてるメリケン製品はアレだし、支那製品なんて露骨にrootkit入りだし MSは情報全部抜き取ります宣言してるし・・・ この記事も罠で、なんらかの思考調査をパスワード盗聴でしようという魂胆だろう ちなみに僕は オメコおじさん(OMEKOoji3)にしてる 何といってもオメコが好きだし、 大文字小文字数字まで入ってて本当にもう完璧だと思います。 ソープの姉さんの源氏名にしてる。 毎月別の姐さんに変更。 結局、法則制を如何に失わせるかだよな システム的に(ノ∀`)アチャーと思うのは ・精々16桁まで(現在では総当りで破りやすい) ・サイト内で移動ごとにパスワードを聞いてくる ・パスワードの再入力に手動で1文字づつ打つように要求 ・頻繁にパスワードの変更を要求 上記の3つはパスワードの単純化を招いてアウト ・IDがメールアドレス メールアドレスは割れやすく解析のきっかけになる という具合の殆どのサイトがアウト、結果的に今現状ではモバイル機器での二段認証が 一番確実なんだが、これでも今現状は過渡期としか言えない >>9 俺もだ だが3重バックアップの同時故障で終わったw 4重にしておけ >>42 非常用なのはUSBメモリに入れるか携帯電話の中に入れておいたらよいかと パスワードを8文字として 小文字と大文字と数字を併用した場合 総当たりに掛かる時間は 小文字だけの場合の約1000倍 今の現場 uidとpasswordが同じで全端末共通 意味がない理由がわからん。一応パターン増えてるんじゃねえか >これとは別に推奨されているのが、複数の単語をつなげて一つの文字列にする、というもの。 パスワードを入力してください password:パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める 変にころうとした結果、一般人は忘れにくいように単純な組み合わせばかりパスワードに使うようになってしまった。 結果、ハカーは簡単にパスを破れるようになったという。 だから日本国内の主要企業は漢字かな交じりにしろとあれほど・・ 今使っている暗号化ソフトのパスワードはこの漢字かな交じりが適用出来るすぐれもの。 例:「雨が降ったらサシコとAKBしたい」。 日本人なら覚えやすく日本語キーのあるキーボードでないと書くことができない最強パスワードだぞ。 しかも漢字ならアルファベットに比較できないくらいの組み合わせがある。 文字列が長く量が多ければ多いほどハックされないてのは真理 さらに無意味な羅列であればあるほど良い 確かに頻繁にパスワード変えるのは対身内にしか意味ないよな 誰に対してのセキュリティかだよな 以前いた同僚に対してなら頻繁にパスワードを変えるのは意味がある windows 10 とかデフォルト設定だとMSに色々情報送ってるから 着々とキーワードは集積されてるよね 秘密の合言葉もいい加減にしろよ ド素人でもソーシャルハックに使われるって簡単に想像できる。だから 「好きな映画は」→「ランダム文字列」という風に 一切、「好きな映画」と関連性がない単語を入れる必要に迫られる。 秘密の合言葉を複数設定しろとか言ってくるサイトは全部それだ。 ふざけんなよ hadawoawasetekanjirufitkan 確かに人間が一つ一つ打ち込むんじゃなくて機械による総当たりなら 大文字だろうが記号だるが全部ただのコードだから関係ないな WindowsWin10は4桁の数字でログインするのだよ。 総当たりさせない仕組みでおk バカなのか? 1回ミスったらあさって来やがれ!くらいでよい パスワード作成 で検索して記号 数字 アルファベット大文字小文字 入れるか入れないか 選択して ランダムなヤツ作らせて使ってる こんな感じのやつ → Qy=2{Uf7.0/F'`:l(<GI5);3<;*}#p1 もちろん 自分では覚えられない・・ (´・ω・`) 俺も銀行のパスワードかえろって出るけど一度も変えてないw 今年からノートン使っているので、パスワード作成しているけど コピペでやるのに、たまに打つのが面倒 端末の場所(IPアドレス・GPS)とサイトの重要性で2段階認証、3段階認証と分ける仕組みがいいよ 自宅とか職場のいつもと同じ場所からアクセスしてる場合は 金銭クレカ情報扱わないサイトは1段階、扱うサイトは2段階 いつもと違う場所からアクセスしたら3段階にするとか 総当たり攻撃なんて同じIDからのパスワード認証間隔を1秒以上にすれば簡単に防げるだろ。 >>3 は? それも>>1 で言ってるけど? バカなの?死ぬの? パスワードとかいらなくない? たまにしか使わないから度忘れしちゃって 今年だけで2回もパソコン買い替えてるわ 大文字小文字数字記号で10文字以上の総当りはどのぐらいで破られる? 今日も ”前回の変更から時間が経ってるのでパスワード変更しろ” と会員サイトからメールが来た。 w 現在はパスワードの頻繁な変更よりも 携帯等を使った二段階認証が今のところ最良とされてるようだね 規則があろうがなかろうが、機械的な処理ならヒット率は変わらないだろ 人間が憶測で破る場合は有効かもしれないが >>1 定期的にパスワード変更はマジでいみがないからやめよう 大文字なり数字なり記号なりは、まあパスワードの転用防止にもなるから一概に無意味とはいえないかな でも結局転用しちゃうんだけどね 出来ればパスワードの形式だけでも統一して欲しいわ 記号英文大文字小文字数字全部入れて32ぐらい コピペOKで そうした方が実際は被害は防げるだろ てか、最近のpc自動で銀行とかもインできるんだけど、 大丈夫なの?? >>3 俺はそう思わない ひょんな事でパス漏れしていた時、パスを変更すれば恒常的な不正アクセスを遮断できる。 総当たり攻撃をスルーするサイトなら、何やってもだめ 何度も間違えればロックアウトされるから、十分有効と思うが アメリカの核ミサイル発射の暗号は、「00000000」だったらしい(0の数は忘れた) 確かに、敵国が核ミサイルを発射してから、あわてて発射ボタンの暗号を確認して いたら、間に合いません! あせって押し間違えて、やり直したりしていたらアウトです だから、すぐに使える簡単な暗号にしていたらしい 今はどうしているのかは知らないが、簡単なものだと思う >>1 知ってた。 初恋の子+地名とか持ち物+数字で 30桁越えを20年前から使ってるわ。 数回エラーだしたら数時間おいて正しいパスワード入れるか再設定申請しないと 使えないっていうのが一番確かだよな。 銀行や証券会社のパスワード確認画面で、 生まれた都市の名前は? お母さんの旧姓は? 座右の銘は? とか個人情報を聞き出す質問が続くので、うっとおしい。 みずほ銀行 お前だよ うざいんだよ 個人情報を聞き出そうとするなよ なんでお前の銀行に、俺の生まれた都市や母親の旧姓とかの個人情報を教えなきゃならんのだ? お前ごときの銀行に教えるのは、英数字意味不明パスワードで十分だ 一応…小文字、大文字、数字、記号を使って10桁以上にしているけど… http://imgur.com/opxzjwP.png >>86 「出身校は?」 ってのもあるけど、こう言うシステムを作るやつは絶望的に頭が悪いな なんでかと言うと、小学校、中学校、大学のバリエーション さらに、東京、東京大学、tokto、Tokyo、TOKYOとさらにバリエーションがあるから 設定した直後ならわかるかもしれないけど、時間が経てば忘れる そういえば、免許の更新時にパスワード入れないといけないんじゃなかったっけ。 確か4ケタの数字を2つだったか。 忘れちゃったよ、どうしよう。 passwordの組み合わせの多さにUPUPしています 確か…、これだったよな違った、これだったか違った 新たなネットつなげれるアイテムで観れないTwitter 半強制的にちょっと変えないといけなくなった時に メールパスワード変更、その後忘れそのPC以外 メールが受け取れない状況に^^; つまりインターネット上でパスワードが必要となるような情報のやりとりはすべきでないということ こんなこと誰だってわかるわい、ニートの俺には関係ないがな どうせアホでも覚えられる単語で少ない文字数なんだろ >>86 しかも銀行やサイトによって出身校 の入力は漢字がだめだったり、OK だったりするので、どちらで入れた かなと迷う。 最初に買ったCD(レコード)の歌手は とかも、洋楽だったりすると面倒w パスワード 8文字で 今時少なー 暗証番号4桁数字で 1万通りしかないの? クレカなのに 今はやりのパスフレーズ 効果あるのですかね 英単語並べただけなのに パスワードジェネレーター 忘れてしまう 二段階認証 携帯番号を全世界に公開 パスワードトークン最強だと思うわ トークン無くす奴はきっと自宅のカギも無くしてるレベル 可哀想に、こんな馬鹿の意見を聞いてパスワード考えたり変更してたやつら・・・ 結局人間が覚えやすいものは機械にとっても破り易いんだろう 自分でパス考える時代はそろそろ終わるのかも >>32 それなら3つ分合わせた長い1つのパスワードにした方がいい 長いの一回当てるほうが時間が掛かる >>99 それは一度目に送ってはダメな人に誤って CCしてたりするのに、二度目のメールで、 パスワード送るときに気付いたりするから、 たまには役に立つ。 同じメール内にパスワード書くのは意味ないw 大文字小文字記号は勘弁してほしい。 何度か間違ったら、しばらく入力できなくなり 入力できない時間が、増えてくやつでいいだろ。 その間に、エラーをメール送信してくれたらさらにいい。 ていうか、何度か間違ったらエラーにしてしばらく再アクセスできないようにするだけでいい。 >>8 昔だと間違いとは言えない。 初期のパスワードを破るプログラムは、英語の辞書に載っている単語を 使っていたからな。 ただ、その後、コンピュータの性能が上がると、全Asciiコードの 組み合わせを使うようになったので、意味がなくなった。 一番の問題は安全と思ってるパスワード1つを あらゆるサイトで使ってるやつだろ 俺のATMは0001だからな お前ら真似するな、俺と被るからな >>6 ネット銀行だとワンタイムバスワードだよね 生体認証はよ >>20 あはは、俺も同じく。 20年前のニフティサーブのパスワード使い回してるわw アルファベットだからダメなんだよ。 世界一優秀なハングルを使用したら、誰もわかりやあせん。 >>1 >しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。 そんなこと言ったらあらゆるパスワードは総当り攻撃でいつかヒットされるだろ 時間無制限なら しかしアタックする時間には普通は制限があるので 大文字も数字もそれ自身は無意味だが 辞書に載っていないワードを作り出すためのルールとしてはある程度有効だ 銀行口座とか5回間違えると凍結だから、総当りなんかできねえよな >>118 まともなサービスなとこならな そういうセキュリティ意識が低いところもあるってことだ 後者に当てはまるサービスは使うな、使っても個人情報は残すな そういうところで使うパスとまともなところのパスは分けろ そういうこったな ずさんなところで得たパスワードを使い回し狙って大手に突撃するのが 今の情報漏えいのトレンド 質問に一々真っ正直に答える必要はない。 覚える必要もまったくなし。 なまじうろ覚えだと混乱するは必定。 暗号化して保存するのみ。 出身校は? 答え:チンコロリン村付属小学校 てな具合。 これを暗号化してSDカードとHDDに保存。 復号化してコピペOK。 現在、50本くらいあるID,パスワードはすべてこの方式。 ゆうちょなどはご丁寧に3本も質問要求してくるからにゃ〜。w 質問の意図した回答にする必要ないだろう 小学校の頃の担任の先生は? まんまんみてみてちんちんおっき これでいい 情シスから自社開発した生体認証システムより 元記事パターンのパスワードを推奨されて頭が痛い ちなみに日本最大級の某IT企業系列勤務 >I want to go out and eat some ramen 長すぎ分からん4単語ぐらいにしてけろ 長いパス使ってるわ。 自分しか知りえない言葉の組み合わせと自分にしか意味のない数字と打ち間違えを混ぜた奴。 >>125 ochinpomirukuderyuuuuuu 記号が無意味なんじゃなくて、覚えづらくて短くしてしまうこと、辞書攻撃されそうな簡単な記号入り単語を使うのがよくないだけ >>1 の長いパスワードの適当な場所を記号や大文字にすればよりよいのは言うまでもない 文字種の多さより長さを重視しろいうならわかる 8文字小文字を8文字大文字小文字にするよりも16文字小文字のほうが強い ダメダメ言ってるばかりで、ズバリどうしろって言えないのが一番ダメなんだろうね。 パスワードをメモしてはダメ。 パスワードマネージャーもダメ。 同じパスワードを他所で使ってはダメ。 短いのダメ。 繰り返しはダメ。 単語をそのまま使ってはダメ。 数字と特殊文字も入れないとダメ。 定期的に変更しないとダメ。 自分は結局パスワードマネージャ+自動生成された個別パスワード。 パスワードじゃなくてメアドだけど 知ってるアラビア語の単語(わずか6文字)@キャリアのドメイン名 ってメアドで迷惑メールは3回しか来たことがない 一般的な英単語だと相手の思う壺なんだろが >>64 世間ではそれをリスクベース認証といってな >>73 PSTN網使った二段階認証はオワコン(NIST談) >>1 なんで天文学が関係あるんだよって思ったら見間違いだった >>133 パスワードをメモするのが問題でなく メモしたパスワードの置き場が問題なんでしょ 人間の行いに意味もくそもあるかよ!!! テレビなんて、今や金儲けの類 NTTのテレビ電話知っとるか??? じいちゃんばあちゃんが、子供と一緒に話しかけるCM没や!!! 終わりだこの国どっかにしまゑ 3回間違えたらアウトでいいじゃん? 総当りを許可してるのが問題でしょうに >>82 敵国の核ミサイルを自国の核ミサイルで打ち落とすわけじゃないぞ? >>139 IDが推察できる場合(email addressとか)、嫌いなやつをロックアウトするのが簡単になるじゃん? >複数の単語をつなげて一つの文字列にする これ、いいなw 好きな本の題名を変換しないで打つ感じで >>113 お前も俺か 俺Newebのパスワードだわ >しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。 おかしな論理。 そんなこと言ったらパスワード自体の否定だ、 どういうパスワードが良くて悪くてっていう話を散々話を引きずっといて そこでちゃぶ台返しか? 総当たりでも破られにくいものはある。 それは長くすること。 指摘されるそうだから、論理を示さず先に強弁しただけに見える。 >>2 そう、変えたばっかりにパスワードを忘れて手続きに手間がかかったりする 砂金の銀行はワンタイムパスワード併用なのでパスワードはあまり気にしていない >>79 それはパスワードが原因のセキュリティ問題じゃ無くね? ゆうちょダイレクトなんかトークンを配っておきながら ログイン自体は合言葉を何重にも聞いてやがる パスワードありきでワンタイムパスワードが来るから パスワードは自動ログインにしているんだがサイトに よっては一定期間がすぎると自動ログインが解除され てしまうので控えて置かなければいけないんだよな。 総当たり攻撃とか機械を使うやつはいろんなパターンを物凄いスピードで入力するんだろ? ゆっくり時間を掛けて入力しないと受け付けないようにすればいいんじゃね? 今まで、かなり難解なパスワードを幾度となく設定してきたが、 数日後には忘れてしまい、メモした所在も忘れることが多いw 仮にメモした所在を覚えていても、呪文を間違えたドラクエ状態だし… >「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることも iPadがまさにそうだよな しかもパスワード間違うとロックして永久に使えなくしやがるし >>75 なんで? 単純に計算回数が増えるんだから解読までに時間が掛かるんじゃないの? 専門家の意見は尊重しないとな。覚えられないのメモに残したり、落したりもあるから・・・ >>149 >>1 は理由が書かれてない糞記事だけど、それが理由なのかな? 入力サイト側で総当たり攻撃を防ぐ仕様になっていれば文字数増えたところで関係ないもんね。 >>144 元の記事の「定量的」な解説がこの漫画 https://xkcd.com/936/ 英語だけどそんなに難しくないだろ 11文字程度の単語に色々工夫をして数字だとか記号を付け加えても2^28程度の情報量に しかならない。少々の工夫+力押しの総当パスワードクラッカーを使ってwebサービスの ログイン画面などに対して攻撃をかければ3日ぐらいで当たりが見つかってしまう それに対して4つのランダムな単語を選んだ場合はどうなるか。基本単語を2000語程度 (=11ビット)とすれば関連の無い単語4つなら44bitで上と同じ条件で総当たりで探すと 550年程度はかかる。 これで不安ならもう一つ単語を増やして単語5つにすれば2000倍の複雑さになるので仮に 1つのパスワードアタックにかかる時間が1/10になったとしても解読には10万年かかるという ことになる 30〜40文字のパスワードを受け付けるようにすればいいんだという話 セキュリティの世界は実はこの手の「因襲」や「信仰」だらけ。 騒がれる割りに、現実の被害でオープンに分析される事例が少ないからだ。 大して効果の無い「呪文」が、未だに責任逃れのために唱えられている。 漢字と平仮名片仮名使えるだけでかなり強度上がりそうといつも思ってる >>158 漢字1文字は英単語1つに匹敵する情報量を持つので単語にならない漢字の文字列はパスワードとして有効だろうね >>156 ますます変な記事だな。 最後に >しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、別の対策を併用することも重要といえます。 なんて捨て台詞吐いてるww >>1 のgigazineの記事がおかしいんだよ WSJの元の記事はこれ https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118 確認してみたけど 「しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。 そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、 別の対策を併用することも重要といえます。」 こんな文章はなかった gigazineのクソ記者が付け加えた文章だな 一番やっかいなのはサイトの管理者とかは全て丸わかりだろ そいつらが必ずしも善人とは限らないだろう盗むやつは盗む 「定期的にパスワードを変更すること」 かなり昔にこれを聞いた瞬間、おかしいと感じた。 複雑で長いパスワードなら、長期間同じでも破られる可能性は低い。 なので頻繁に変更はしなくてよい。 変更する前のパスワードが破られずに、変更したことが原因で変更後のパスワードが破られる可能性があるとすぐ気づいた。 だからパスワードは、頻繁に変更したことはない。 こうして専門家が誤りを認めてるのを見ると、自分の直感が正しかったのがよくわかる。 定期的な変更は無意味どころか害だって昔から思っていたわ。 あれ、日付とかの数字を付けたパスワードにして、数字の所だけ変えている奴がほとんどだろ。 昔と違って今は小文字だけアタックとか簡単な辞書で探索とかしないだろうからな >>164 gigazineとかキズモードの日本語訳記事は 内容捏造したりするから信用できないのが多いね。 あとは宣伝提灯記事。特にキズモードが酷い。 パスワードなんて個人レベルだと破られるよりサービス側から流出することの方が多いからな それ対策としてなら定期的に変更する意味が無いとは言えない 木っ端個人のパスワードなんて流出しても大した価値はない 流出の規模が大きければ大きいほど無用の長物となる クレカは破られたらカード再発行+保険で損害をカバーという考え方なので甘くていいんだよ かつては合ってた。 しかし、解析能力向上により無力化された、ぢゃねえの? ま、今では無意味になったのは事実だが。 >>118 > 普通、総当りなんてできなくね キーロガー仕込まれたら、ワンタイムパスワード以外は全滅っすね。 銀行の4桁なんぞ、後ろに立ってる人いたら、暗記されてもおかしくないレベル。 コンビニATMの監視カメラに写ってるんじゃねーの 指先見えなくても、10パターンx4だから、推測可能だと思うわ、最新のAIで どんな複雑なパスワードも、時間をかければ破られる可能性がある。 それは大文字や特殊文字を混ぜても大差なかったってこと? けっきょく短期間で頻繁にパスワードを変えるしか方法はないの? しかしそれも管理効率が悪い。 >>126 > >>111 > あれ仕組み分からん ややこしい乱数発生器を作る。 乱数発生のシードをネット銀行が保管する。各口座ごとにシードは変える。 口座番号に対応したシードのトークを郵送。 同じシードからは、同じ乱数の数列が出るので、1分に1回とか順次発行していけば、答え合わせが出来る。 トロイ奴がいるから、前後5分くらいはOKにしてると思われ。 >>142 サイト毎に、長い本の名前も覚えるのか、大変だな。 頻繁に変える事を安易なパスの理由にしなければ良いんだが、凡人には難しいんだろうな 俺のパスワードはいつでもどこでもona454519 爺さんばかりの職場とかIDとパスワードが壁にデカデカと貼ってあったりする >>180 一定期間ごとに強制的に変えさせるところがある 過去3回までのは使用不可 ほぼ意味ない ローテーションされるだけ >>166 > 複雑で長いパスワードなら、長期間同じでも破られる可能性は低い。 パスワードの保存形式と認証のやり方によるよ よくあるハッシュ関数を用いる方法だと 1文字のパスワードも100文字のパスワードも 照合に使われるデータの長さは同じ 可能ならIDもサービスごとに変えておけばさらに安心。 >>167 人間そんなもんだよね 挙げ句の果てにはパスワードをディスプレイやキーボードにポストイットで貼ったりもする 実運用的には無理に変えさせない方がまだマシだと思う でも変えさせないシステム監査で引っかかる サイトによってパスワードが十数文字しか登録できなかったりしてて(有名どころでも) なんで長いパスワードを登録出来ないのか疑問なんだけど 長いとサイト運営者には負担がかなり大きくなるのか? 一番ムカつくのは、パスワード登録の時にコピペ禁止、手打ち強制のとこ。 chinkounkomanko これなら覚えやすい 量子コンピュータやDNAコンピュータが開発されれば、 パスワードを使ったセキュリティモデルはどうせ 有効性を失ってしまうんでしょ? 新たなモデルが必要になる。 >>155 同じパスワードでも人によってキー入力のスピードやタイミングに癖が出るんだけど、それを生体認証にしてパスワードが漏れても本人の入力以外は受け付けないとか出来るらしい 疑似乱数というのは予想されるからセキュリティとしては弱い ではどうすれば本当の乱数が得られるか 放射性物質の崩壊の タイミングはその条件を満たすと考えられている ということは ガイガーカウンター等の機器はそうした乱数を得る道具として使える のだ パスワードなんて電話番号の下4桁とか車のナンバーとかそんなのでいいんだよ セキュリティでやるなら4桁とかほとんど無意味なんだし パスフレーズによる長文パスワードこそ最強ってマイクロソフトも言ってたな 記憶の中に留めることが可能ならパスワードの変更も不要、と とりあえず1234567890から始めておけば良いんですね ドトールコーヒーは悪の結社、創価学会の 一員だ 集団ストーカーを行なってる エクセルシオールカフェ赤羽東口店(現在ドトールグループ サンメリー赤羽店)閉店は証拠隠滅 ドトールも創価も法的措置を取らないのは 事実だからです とうきょうときたくあかばねは そうかのまち 「平和があるように」と挨拶しなさい。 (新約聖書『マタイによる福音書』10章12節から) 今頃わかったのか ソーシャルエンジニアリングや総当りは天下無敵だとわかっていたよ 所詮人の内部の知恵 人に解けないはずがない 絶対崩せない暗号だって矛と盾だよ 数学の天才も、量子数学もいずれは解ける 複雑なだけ ウェブ上には見られても困らんものしか放流しない っていう原則を守ればいいだけの話 大文字入れて安心してる奴なんていないだろ パスワード再入力まで時間制限設けるか、 何度か失敗したらロックかければ良いだけちゃうの? >>205 大量のアカウントがロックされて大混乱不可避w 銀行や証券会社ならパスワードに大文字小文字数字記号をすべて使えとか許せるが ストアの会員ページでこれやらせるとかアホかと パスワードハングルのしたらいいですニダ。 世界最高峰の暗号と言われてます。 ただこれは韓国が起源なので、使った場合は謝罪と賠償がもれなく付いてくるお得なサービスです。 passwordを p@ssw0rdにする、みたいな奴は 変換パターンが限られてるしあまり意味ないんじゃないかな、とは思っていた 以前この手のスレで 「日本語OKにすれば解決」 という意見を見た パスワードを解くコンピュータ側からすると アルファベットだけじゃなく 漢字、平仮名、片仮名も入ると 同じ言葉でも桁が違いすぎて 解くのが不可能らしい >>31 文字コードで入力されると仮名漢字関係ない。 >>207 ロックしたらメールからしかアクセスできないようにしてもいいしね >pa$$w0rD こういうのは辞書登録されているpasswordというワードを使っている時点で、 ちょっと小細工して$や0やDを入れた所で比較的簡単に破られてしまうと思う。 特殊記号の数、インド=アラビア数字の数は限られているし、小文字か大文字かの 入れ替えも単純な二分法にすぎる。 元になる文字列も世界のどんな辞書にも載っていないデタラメなものにすべきだが、 そうなると人間の脳が記憶しづらいというパスワード管理上の難点が生じて トレードオフなんだよね。 パスワードに日本語が使えるようにならないのがダメ。 日本語は現存する言語の中ではもっとも複雑な文字体系を持っている。 >>209 日本人は人類の文字そのものの起源を主張してるんだっけ あらゆるパスワードは全部Evernoteに記入してクラウドで管理してる セキュリティ上どうこう言われるかもしれんが、 そうじゃないともう管理できない >>220 Evernoteがいいかどうかは判らんが多くのアカウントを持っているなら使い勝手のいいパスワードマネジャーを使い、パスワードデータはAESなどで暗号化しておくのがいい コピペやパスワードマネジャーを排除するようなサイトはセキュリティ的には有害だよね いい加減、生体認証に移行しろよ。 いくらパスワード使っても、解析ツールで破られるのがオチなんだから。 >>222 生体認証は指紋なら型を取れる、虹彩なら写真で突破できるなど問題がないわけじゃない 盗まれたら両手と眼球移植するか? それだけ重要性が高いなら複数要素で認証するしかない >>222 それで解析ツールで解析できるのがわかっていても解析するのに何百年、何千年かかるなら実質的に問題ない。 そうするにはパスワードを長くする(パスフレーズ)のが効果があるという話 10年ぐらいの間なら単語4つも組み合われは充分。ランダムな単語5つなら殆ど解読不能と言っていい。 クラウドで何千台を並列して解読しても100年ぐらいでは無理。量子コンピュータがカジュアルに使えるようになったら考える必要はあるが 総当たりで解析するにしても、常に一番最後の組み合わせが正解とは限らないので、解析に 理論上○○年かかるといった話は無意味。 一方で、パスワードの文字数に関係なくハッシュで保存しているから、短いパスワードと 長いパスワードも安全性は同じというのも間違い。 様々な所で使う長いパスワードを覚えきれなくなって 本末転倒になるケースばっかり・・・・・ どれだけの労力が失われたことか パスワードを共通にするのが一番危険でしょ と言う事でパスワード管理ソフトが無いとどこにもログインできない状態に パスワードなんかなくてもいいんだよ 誰が入ったのかさえわかればいいの 自分のPCのナンバーを正しく書かないと どこにも入り込めなくすればいいだけ 自分のマシンが承認すればいいの その前に、クラッカーを捕まえて裁判して社会復帰を絶てよ >>225 こういう場合に「常に一番最後の組み合わせが正解」なんて狂った前提をする奴がいるとは思わなかった 通常は平均時間を使う。つまり正解が見つかる可能性が50%になるまでの時間を使う。この場合は線形検索 になるから1/2の時間となるがこれでは不十分に感じる人も多いだろう。 厳密な議論をしてもわかりにくいので以下の話に代えさせてもらう。 1単語11bit相当とした例に従い5単語を使ったパスフレーズを使用した場合総当たりの全組み合わせは2^55 =36028797018963968(3京6028兆)つまり最初の1回で当たる確率は1/3京6000兆程度 1億回の試行を繰り返しても当たる確率は3600万分の1で宝くじの1等よりも確率は低い。 つまり十分に広い組み合わせの空間を用意してやれば力技での探索は難しくなる >>225 単語の組み合わせなんて使うのは、馬鹿の極み。 おまえ、プログラム書いたこと のないだろ。 平均だろうが、結局のところ単なる机上の確率論でしかない。 まぁ普通は、Websサービスなんかで総当たりアクセスなんてすると、クラック行為とみな してアカウント無効化などの処理を行うが、パスワードハッシュが漏れるなどしてしかも 暗号化が既知である場合、オフラインで無制限にリトライできる。 >>233 崩しすぎて人間にも判別不能なのあるよな >>2 俺は10年ぐらい無視してたら口座凍結されたわw再開手続きをしないと使えませんと パスワードを変更してくださいの封筒が5回ぐらい届いた 現在のシステムを廃止するから新しい物に登録してください無視 システム変更手続きの書類も無視 口座止まる SHA1-RSAとか秘密鍵ハッシュ署名方式ですら総当たり攻撃に弱いってこと? なんか昔イーバンクバンク銀行だっけ? 口座番号の総当たりブルートフォース受けて 大量のアカウントロック掛けられて 客が阿鼻叫喚やったことなかった? で、その対策が、全然違うパスワードならノーカウント 惜しい間違い3カウントで口座ロックだったかと それはそれで、皆して総(゜o゜)\(-_-)突っ込みウケてた 寿限無とか般若心経なら破られんだろ 打つのが大変だけど >>241 じゅげむ や はんにゃたらみじ でた時点で先が想像できちゃうやんけ >>242 パスワード総当たりに最初の数文字だけ正解という判定は無いだろ 全くの間違いか正解かのどっちか 安全なパスワードは、 パスワード登録してから、一度も パスワード変更していないパスワードを使い続ける事だ っと、パスワードの専門家が、数か月前に 言ってたな。 >>3 たな アルファベット26 + 数字10文字で36パターンだったら 1日ごとに10文字のパスワードを使うより1ヶ月ごとに11文字のパスワードを使う方が破られにくい こいつのせいで世界的にどれだけの経済損失を被ったんだろな 金額にするととんでもないことになるだろ >>45 unix文化だと閉じたNW上のサーバはみんなadm/admとか? 結局のところ、同じパスワードを使いまわすのが駄目なだけ 若干でも変化をかければいい とはいえ文字数制限がキツいところはどうにかならんかね・・・ 結局、どんなPWを使っても単純な確率と使用者に関する知識の問題。 従って、重要なアカウントの保護には2段階認証等、他の方法を採用しろって事だな >>242 「球児好児の右好児」みたいに途中でちょっと間違っておくと 予想が外れて、あれっ?あれっ? という効果が出るのではないか >>1 パスワードには必ず「ラーメン」を入れるのか。 メモメモ UTF-8の3バイト文字を受け付けるだけでだいぶ難読性上がりそう つかユーザー側からしたら、100文字とか200文字とか長いパスワードを登録できるようにしてもらいたくね? そうすれば破られる可能性が大分下がるだろ? なんでサイト側はやらないんだ? >>255 復活の呪文で泣いた奴が何人いたと思ってるんだよ w って言うのがわかる奴はどれぐらいいるんだろう... >>255 辞書攻撃の代わりに歴史的名言や有名な言い回しが攻撃対象になるだけ あと文字数が多いとタイプミスの確率が多くなり正しいユーザーが弾かれやすくなる それにユーザーも100文字入力するのは手間だろ 放 射 能 に 感 謝 の 気 持 ち を 送 り ま す 「私は放射能に感謝の気持ちを送ります。ありがとう・・・」 安倍昭恵 https://twitter.com/HON5437/status/882117283757178880 練習後走り倒れた女子マネジャー死亡 新潟の高校野球部 http://www.asahi.com/articles/ASK8656TGK86UOHB00S.html 帰宅した長男(8)が発見。東京、墨田区30代の女性の突然死。 https://twitter.com/onodekita/status/857915526609117185 漫画家の訃報 昨年までは7名前後、今年はなんと20名以上亡くなっている https://twitter.com/ 東海アマ/status/856617404234846208 第16回日本心不全学会学術集会 「心不全パンデミック」大震災における心不全の増加はこれまで報告がない。 『チェルノブイリの祈り』 たくさんの人があっけなく死んでいく ベンチに座ったまま バスを待ちながら 説明のつかない死が多かった 多くの人が脳卒中や心筋梗塞を起こした 駅やバスの中で 小泉義仁(51) 、駅で脳梗塞。 ス ピ リ チ ュ ア ル T V 森岡賢(49)、、心不全。 元 ソ フ ト バ レ エ 飯野賢治(42) 、心不全。 D の 食 卓 今井洋介 (31) 、心筋梗塞。 テ ラ ス ハ ウ ス 木村唯(18)、右足切断、筋肉腫。 花 や し き 少 女 歌 劇 団 バーク送りの商人に般若の面を装備させても 大王イカに殺される >>258 100文字は無駄かも知らんけど40文字(単語にして4〜5)の他人にとっては無関係に見える単語列で十分だという話をしているのが>>1 ありがちな手としては聖書○ページの○行目から縦読み(で当たる単語)とか ○ページから○ページの先頭の単語とか あと 大文字小文字、記号の切り替えは手間なので排除できるのもメリットだとか書いてあったな 関係ないけどそのページのカタカナだけ拾い読みすると放送禁止用語になる小説とか小松左京ほか数名が書いていた アメリカTVドラマではどんな暗号でも解析ソフトにかけられてすぐ暗号解読できたりする あるいは天才ハッカーがあちこちにいたりする 自 分 の 手 は 汚 さ な い ん で し ょ ? 上原多香子の『グータンヌーボ』での発言 優香 どうやって別れるの? 上原 私、あまり・・・言わせちゃうかもしれない 小池 え・・・ 優香 向こうから? 上原 あんまり、そういう言葉を切り出すのができないから 小池 追い込むんだ? 自分の手は汚さないんでしょ? 上原 ズルいって言われた事があるかも 小池 凄くない・・・? 【閲覧注意】上原多香子の不倫事件、実は凄い真相が隠されていたのでは・・・ https://www.youtube.com/watch?v=idErOfCwAIQ >>264 >ありがちな手としては聖書○ページの○行目から縦読み(で当たる単語)とか ○ページから○ページの先頭の単語とか これをやめろと言ってるの こんな誰でも思い付くもの簡単に予測されるわ 上記の方法にプラスしてアルファベット一文字二文字ずらす方法も同様 お前さんが40文字のパスワードのパターンを10^20個考えろと言われたら間違いなく考え付くだろ 余裕で突破される >>270 > お前さんが40文字のパスワードのパターンを10^20個考えろと言われたら間違いなく考え付くだろ > 余裕で突破される え?本気でそんなこと言ってんの? もしそうならプログラミングはまあいいとして設計は任せられないからそっち方面の仕事はしないほうがいい 何で10^20なのか知らんけど6単語というところだな。この仮定でいいか 1回の試行がまあ高性能のシステムつかっているとして0.1μSで照合できるとする 平均5×10^12秒程度で確かに当たるよ 15万8000年ぐらいだけどな 32万年かけるか100万台規模のクラスタ使えば余裕かもしらんな。それがコストに見合うなら ああ、出版社違えば版組変わるから同じ聖書でも同じにならない。それでも気になるなら自分の書いた卒論の英文アブストラクトでも使えばいい 日本語の他に、ヘブライ語、タイ語、アラビア語みたいな解読が難解な文字もOKにすればいい バイクの名前とかだと 記号(ハイフン)と数字が入っていい感じ YZF-R1とか >>1 タイトルが悪い 一般的に大文字や記号を入れることは意味ある 辞書攻撃でやられてしまうようなパスワードの一部を大文字や類似形の記号に入れ替えても意味ないだけ そういうのはlibcrackの走査対象 >>271 アホだな パターンごとの期待値は均一ではなく パスワードに使われやすいパターンがあるってのが問題なの そのために既存のパターンと既存パターンを単純な変換で求めたパターンは大した数じゃない あと君は思いつかないようだが世界にコンピュータは一台ではないしサーバーも一台ではない、もちろんパスワードを求めるサイトも一つではない そのため実際にクラックする場合は数百万台のPCを乗っ取り並列して行うことになるため君の計算は的外れもいいとこ >>278 認証? 攻撃のこと? パスワードが6文字しかなけりゃ 全ビットパターンを一日かからず総当りできるぞ >>279 3回ぐらいでロックかかるんじゃないの?回避出来るならロック機能て意味なしだね。 連続10回間違えたら12時間ぐらいログオン禁止にすればいい。 パスワードとか、もう時代遅れ。 これからはWindowsHelloで顔認証の時代。 WindowsHelloで認証されれば、そのままActiveDirectory にもサインアップ。 ADサーバーから、この人は認証済みですの証明書が発行 されるので、どこのサイトもパスワードなしで入れるようになる。 早くそうなるべき。 >>283 夏期休暇の後出社したらログイン出来なくなってたりして >>283 写真で認証される >>284 さすがにそれはひど過ぎ 今どきの賢い顔認証は眼鏡ぐらいなら何とかする サングラスにマスクしたらダメかもだけどそれ何のため? >>277 >パスワードに使われやすいパターンがあるってのが問題なの >そのために既存のパターンと既存パターンを単純な変換で求めたパターンは大した数じゃない せめて>>1 と元の記事 https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118 は読もうよ。全然読んでないのバレバレじゃん。こっちが要点の開設だから見たほうがいいよ https://xkcd.com/936/ >あと君は思いつかないようだが世界にコンピュータは一台ではないしサーバーも一台ではない、 >もちろんパスワードを求めるサイトも一つではない こんな今どき小学生でも知っていることを言ってドヤってもねぇ 私はこれ↓にも参加してたよ。1999年かぁ前世紀の話だよこれ http://www.distributed.net/DES/ja まあ、もうちょっと勉強したほうがいいかもしれないね。それより性格直したほうがいいか >>288 申し訳ないが>>277 は>>1 を踏まえた話じゃないんだ 読めば分かると思うけど >こんな今どき小学生でも知っていることを言ってドヤってもねぇ 知らないの君であって私ではない >>291 今どきこんな天然ものがいるんだ いいものを見せてもらったわw ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる