X

【IT】パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める [無断転載禁止]©2ch.net

■ このスレッドは過去ログ倉庫に格納されています
0001ノチラ ★
垢版 |
2017/08/11(金) 17:32:45.83ID:CAP_USER
パスワードを安全なものにするためには、アルファベットの場合は大文字と小文字を入り交ぜたり、数字や記号を加えたりすることが効果的だと考えられているわけですが、かつてこのルールを提唱していた専門家はいま、「大文字も数字も記号も、意味がなかった」と過去の発言の誤りを認めて後悔していると語っています。

驚きの後悔をWall Street Journalに語ったのは、かつてアメリカ国立標準技術研究所の所長を務め、現在は退任したビル・バー氏です。バー氏は、2003年に発表された安全なパスワードを作るためのガイドラインに携わっていた人物で、その中では「大文字と小文字を併用すること」「数字と記号を混ぜること」「定期的にパスワードを変更すること」という方法が推奨されていました。

ここで推奨されていたのが、例えばパスワードに「password」という言葉を設定していた場合だと、大文字を入れて「paSSworD」とする方法や、記号や数字を入れて「pa$$w0rD」と変化させるというもの。しかし、これらの方法は当時の現状を調査した内容に基づいているものではなく、1980年に書かれた論文の内容をもとにしたものだったため、その信頼性はあまり高くなかった模様。

また、あまり頻繁にパスワードを変更するのも良くないどころか、非効率的で、さらにはハッカーにパスワード変更のパターンを見抜かれてしまう危険すら生じるとのこと。現在72歳というバー氏はWSJに対して「私がしてきたことの多くを、今は後悔しています」と語ったそうです。

これまで推奨されてきた方法は、おそらく誰でも一度は耳にしたことがあるものであり、場合によってはパスワードを作る時に「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることもあるほど。本人自らが否定してしまった「パスワードの作り方」ですが、これとは別に推奨されているのが、複数の単語をつなげて一つの文字列にする、というもの。例えば「I want to go out and eat some ramen」(外に出かけてラーメンを食べたい)という文章をギュッと圧縮して「iwanttogooutandeatsomeramen」というふうにすれば、効率よく、しかも忘れにくい長文のパスワードを作ることができる、とのことです。

しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、別の対策を併用することも重要といえます。
http://gigazine.net/news/20170810-password/
0002名刺は切らしておりまして
垢版 |
2017/08/11(金) 17:36:59.94ID:KHQZJRQM
銀行や証券会社のログインパスワード数ヶ月ごとに変えろと
しつこく出るが無視して同じもの使い続けてるよ。頻繁に変えたほうが
覚えやすい安易なものにする事になり危ないこと認識してるから。
0006名刺は切らしておりまして
垢版 |
2017/08/11(金) 17:41:59.20ID:0XDVFP4Z
もう自動生成アプリかなんかで毎回違ってもいいだろ
0007名刺は切らしておりまして
垢版 |
2017/08/11(金) 17:42:05.72ID:Nbvqe93e
>>1
ハンガリアン記法使えよ
0008名刺は切らしておりまして
垢版 |
2017/08/11(金) 17:43:54.32ID:azZtb5iV
つまり 根拠ない 都市伝説でした
0010名刺は切らしておりまして
垢版 |
2017/08/11(金) 17:44:45.49ID:jPIKNjfj
量子コンピュータが一般的に普及しだしたらどうなるんだろな
量子暗号鍵とか言い出してるけども一般的に普及すんのかな
今の暗号鍵なんて一瞬で解かれることになるし
0011名刺は切らしておりまして
垢版 |
2017/08/11(金) 17:45:45.42ID:BhABxTGf
最近のトレンドはとにかく長いかつ覚えやすいもの
0012名刺は切らしておりまして
垢版 |
2017/08/11(金) 17:46:08.80ID:3eIUp8EI
>>9
1pass使えよ
0013名刺は切らしておりまして
垢版 |
2017/08/11(金) 17:46:15.03ID:1hxmVga0
07211919
0014名刺は切らしておりまして
垢版 |
2017/08/11(金) 17:47:21.38ID:0RoW+yYo
通ってた学校とかもアホだな調べればわかるやんけ
0016名刺は切らしておりまして
垢版 |
2017/08/11(金) 17:50:27.95ID:fbTyNLNg
日本語の文章をローマ字入力してる

Haikyoumoshigotodesuyo

とか、

orenopasokonnougokashikata


とかにしてる。
忘れない為に
0017名刺は切らしておりまして
垢版 |
2017/08/11(金) 17:51:46.70ID:gQ8Y3Jd5
ある程度自分のルールで入れたいのに制限がんじがらめで慣れないパスワード作らされると、
結局どっかでメモで残すしかなくなる

つうかうちの社内セキュリティルールがうざいのはお前のせいだったのか
0020名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:00:01.81ID:WXZkF4MZ
プロバイダのログインパスワードは
初期パスワードのまま使い続けて15年ですがなにか?
0022名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:01:30.70ID:HMz9zmlP
ふざけて、しゃちょうしね、と入力したら、
「既に使用されているパスワードです」、って返されて笑った
0024名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:05:04.02ID:UttlGVBu
ガイドライン作った時に確たる根拠がある訳でなかったのと同様、意味がなかったとする意見もやはり確たる根拠がなかったりして。
0025名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:06:07.49ID:o9JXJ57x
脱いで詫びろ
0027名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:07:26.29ID:ZCZHsN+A
よかった大文字入力するのめんどくさいから全部小文字にしてたんだw
0028名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:08:12.30ID:gkcjKvsq
>>6
そうか、そのてがあったなw
パスワード生成管理ソフトにウィルス入れとこ
0029名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:11:55.54ID:/2SNhCow
パスワ−ドを

 あなたのことがとくていできました

 とかにしておけ
0030名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:13:29.25ID:rnHGdJtW
123456789
0031名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:14:43.01ID:F58HS284
人は記憶型と思考型に大別できる

総当り攻撃には1日のログイン回数を制限するだけである程度防げる
そして日本限定だが漢字やひらがなを使えるようにすればいい。桁違いの組み合わせ数になるからね
0032名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:14:51.88ID:b2ZnFSSV
パスワードを3つにすればいいんじゃないかな
1つ目認証、2つ目認証、3つ目認証でやっとログイン
銀行関係とかハッキングされるとやばいものに限定してね
0033名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:16:31.49ID:BhABxTGf
今時ブルートフォース通るとこなんかまずないから、複雑ならいいってもんでもない。
流出したときは問題になるので、サイトごと、サービスごとにパスワードを変えておくことは必要。
0034名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:20:32.77ID:eMShJvh2
この長い文章方式も駄目だと思う、パスワード解析するのに仮に最初の8文字で
何らかの単語が発見された場合、総当たりの前に長文のデーターベース参考にして
アタックされたら破られるスピードは大差ないかと
0035名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:21:13.33ID:ECjs6pZT
>>1
は?なにこのくそ記事。具体的な理由は?
文字数が増えることは、総当り攻撃に対して有効としか思えないんだけど。
0036名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:21:14.06ID:yVkGLh0S
>>1
おまえのせいで
今じゃ嫌がらせかと思うほどに めんどくせーくらいに
大文字小文字数字混在強制のパスワード社会になってんだぞ。
反省しろ。
0037名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:22:47.51ID:heFhwAQ5
パスワードを取得するのは手っ取り早いけど、256bit程度の暗号なら2日もあれば完全解読できる時代に
何の意味があるのかわからないわ

バックドアが仕込まれてるメリケン製品はアレだし、支那製品なんて露骨にrootkit入りだし

MSは情報全部抜き取ります宣言してるし・・・
0038名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:23:53.22ID:EqDn1sNo
この記事も罠で、なんらかの思考調査をパスワード盗聴でしようという魂胆だろう
0039名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:24:25.56ID:92X+bkpY
ちなみに僕は
オメコおじさん(OMEKOoji3)にしてる
何といってもオメコが好きだし、
大文字小文字数字まで入ってて本当にもう完璧だと思います。
0040名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:26:15.47ID:Lb57z50R
ソープの姉さんの源氏名にしてる。
毎月別の姐さんに変更。

結局、法則制を如何に失わせるかだよな
0041名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:26:22.30ID:eMShJvh2
システム的に(ノ∀`)アチャーと思うのは
・精々16桁まで(現在では総当りで破りやすい)

・サイト内で移動ごとにパスワードを聞いてくる
・パスワードの再入力に手動で1文字づつ打つように要求
・頻繁にパスワードの変更を要求
上記の3つはパスワードの単純化を招いてアウト

・IDがメールアドレス
メールアドレスは割れやすく解析のきっかけになる

という具合の殆どのサイトがアウト、結果的に今現状ではモバイル機器での二段認証が
一番確実なんだが、これでも今現状は過渡期としか言えない
0042名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:28:46.00ID:fOln4api
>>9
俺もだ
だが3重バックアップの同時故障で終わったw
4重にしておけ
0043名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:30:56.54ID:eMShJvh2
>>42
非常用なのはUSBメモリに入れるか携帯電話の中に入れておいたらよいかと
0044名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:31:09.79ID:7+7OO1XC
パスワードを8文字として
小文字と大文字と数字を併用した場合
総当たりに掛かる時間は
小文字だけの場合の約1000倍
0045名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:31:38.05ID:xVTN9R2q
今の現場
uidとpasswordが同じで全端末共通
0046名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:33:10.71ID:Fn7oysx9
意味がない理由がわからん。一応パターン増えてるんじゃねえか
0047名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:35:43.53ID:wfO/WndU
>これとは別に推奨されているのが、複数の単語をつなげて一つの文字列にする、というもの。

パスワードを入力してください
password:パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める
0048名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:36:51.72ID:cOC++yKM
変にころうとした結果、一般人は忘れにくいように単純な組み合わせばかりパスワードに使うようになってしまった。
結果、ハカーは簡単にパスを破れるようになったという。
0049名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:37:16.25ID:JlUCmtoA
だから日本国内の主要企業は漢字かな交じりにしろとあれほど・・
今使っている暗号化ソフトのパスワードはこの漢字かな交じりが適用出来るすぐれもの。
例:「雨が降ったらサシコとAKBしたい」。
日本人なら覚えやすく日本語キーのあるキーボードでないと書くことができない最強パスワードだぞ。
しかも漢字ならアルファベットに比較できないくらいの組み合わせがある。
0050名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:38:50.46ID:WyJPpkPa
文字列が長く量が多ければ多いほどハックされないてのは真理
さらに無意味な羅列であればあるほど良い
0052名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:41:04.30ID:ZMTGXxTC
誰に対してのセキュリティかだよな
以前いた同僚に対してなら頻繁にパスワードを変えるのは意味がある
0053名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:42:12.91ID:7+7OO1XC
覚えにくいパスワードを
わざわざ作る人は少数派だ
0054名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:44:16.36ID:MlY07+XK
windows 10 とかデフォルト設定だとMSに色々情報送ってるから
着々とキーワードは集積されてるよね
0055名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:44:20.70ID:Fn7oysx9
秘密の合言葉もいい加減にしろよ
ド素人でもソーシャルハックに使われるって簡単に想像できる。だから
「好きな映画は」→「ランダム文字列」という風に
一切、「好きな映画」と関連性がない単語を入れる必要に迫られる。
秘密の合言葉を複数設定しろとか言ってくるサイトは全部それだ。
ふざけんなよ
0057名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:49:36.09ID:/rg6U6Y9
確かに人間が一つ一つ打ち込むんじゃなくて機械による総当たりなら
大文字だろうが記号だるが全部ただのコードだから関係ないな
0060名刺は切らしておりまして
垢版 |
2017/08/11(金) 18:58:25.46ID:6p7wjcYf
総当たりさせない仕組みでおk
バカなのか?
1回ミスったらあさって来やがれ!くらいでよい
0061名刺は切らしておりまして
垢版 |
2017/08/11(金) 19:02:24.81ID:U5/TUegr
パスワード作成  で検索して記号 数字 アルファベット大文字小文字 
入れるか入れないか 選択して ランダムなヤツ作らせて使ってる

こんな感じのやつ →  Qy=2{Uf7.0/F'`:l(<GI5);3<;*}#p1
もちろん 自分では覚えられない・・ (´・ω・`)
0063名刺は切らしておりまして
垢版 |
2017/08/11(金) 19:04:01.97ID:LraaoHWq
今年からノートン使っているので、パスワード作成しているけど
コピペでやるのに、たまに打つのが面倒
0064名刺は切らしておりまして
垢版 |
2017/08/11(金) 19:06:10.20ID:24UfKCSc
端末の場所(IPアドレス・GPS)とサイトの重要性で2段階認証、3段階認証と分ける仕組みがいいよ
自宅とか職場のいつもと同じ場所からアクセスしてる場合は
金銭クレカ情報扱わないサイトは1段階、扱うサイトは2段階
いつもと違う場所からアクセスしたら3段階にするとか
0066名刺は切らしておりまして
垢版 |
2017/08/11(金) 19:11:12.27ID:Hhcf51fH
肛門のシワで認証するのがいい。
0067名刺は切らしておりまして
垢版 |
2017/08/11(金) 19:12:03.28ID:rGPWEX+I
英数字混ぜてるのにググルメにスパムが届く
0068名刺は切らしておりまして
垢版 |
2017/08/11(金) 19:14:49.24ID:GwgTXvy+
総当たり攻撃なんて同じIDからのパスワード認証間隔を1秒以上にすれば簡単に防げるだろ。
0070名刺は切らしておりまして
垢版 |
2017/08/11(金) 19:16:21.81ID:8P1+jJD9
パスワードとかいらなくない?
たまにしか使わないから度忘れしちゃって
今年だけで2回もパソコン買い替えてるわ
0072名刺は切らしておりまして
垢版 |
2017/08/11(金) 19:20:58.07ID:ZlfFZDP+
今日も

”前回の変更から時間が経ってるのでパスワード変更しろ”

と会員サイトからメールが来た。

0073名刺は切らしておりまして
垢版 |
2017/08/11(金) 19:23:40.07ID:ZlfFZDP+
現在はパスワードの頻繁な変更よりも

携帯等を使った二段階認証が今のところ最良とされてるようだね
0075名刺は切らしておりまして
垢版 |
2017/08/11(金) 19:26:20.77ID:qv6UvteQ
規則があろうがなかろうが、機械的な処理ならヒット率は変わらないだろ
人間が憶測で破る場合は有効かもしれないが
0076名刺は切らしておりまして
垢版 |
2017/08/11(金) 19:26:26.13ID:06l+5Wjd
>>1
定期的にパスワード変更はマジでいみがないからやめよう

大文字なり数字なり記号なりは、まあパスワードの転用防止にもなるから一概に無意味とはいえないかな
でも結局転用しちゃうんだけどね
0077名刺は切らしておりまして
垢版 |
2017/08/11(金) 19:33:28.76ID:eMShJvh2
出来ればパスワードの形式だけでも統一して欲しいわ
記号英文大文字小文字数字全部入れて32ぐらい
コピペOKで

そうした方が実際は被害は防げるだろ
0078名刺は切らしておりまして
垢版 |
2017/08/11(金) 19:34:28.14ID:q8ljwjOC
てか、最近のpc自動で銀行とかもインできるんだけど、
大丈夫なの??
0079名刺は切らしておりまして
垢版 |
2017/08/11(金) 19:53:58.57ID:YYAcaK6p
>>3
俺はそう思わない
ひょんな事でパス漏れしていた時、パスを変更すれば恒常的な不正アクセスを遮断できる。
0082名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:01:28.66ID:9SpF+3xf
アメリカの核ミサイル発射の暗号は、「00000000」だったらしい(0の数は忘れた)
確かに、敵国が核ミサイルを発射してから、あわてて発射ボタンの暗号を確認して
いたら、間に合いません!
あせって押し間違えて、やり直したりしていたらアウトです
だから、すぐに使える簡単な暗号にしていたらしい
今はどうしているのかは知らないが、簡単なものだと思う
0084名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:18:35.04ID:dERrT0/A
数回エラーだしたら数時間おいて正しいパスワード入れるか再設定申請しないと
使えないっていうのが一番確かだよな。
0085名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:23:28.67ID:/MZ3lkhD
pasuwa-dowowasureta
0086名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:25:19.88ID:LcS+TpXM
銀行や証券会社のパスワード確認画面で、


生まれた都市の名前は?
お母さんの旧姓は?
座右の銘は?

とか個人情報を聞き出す質問が続くので、うっとおしい。
みずほ銀行
お前だよ
うざいんだよ
個人情報を聞き出そうとするなよ
なんでお前の銀行に、俺の生まれた都市や母親の旧姓とかの個人情報を教えなきゃならんのだ?
お前ごときの銀行に教えるのは、英数字意味不明パスワードで十分だ
0089名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:36:50.17ID:uxKAjyxl
>>86
「出身校は?」
ってのもあるけど、こう言うシステムを作るやつは絶望的に頭が悪いな
なんでかと言うと、小学校、中学校、大学のバリエーション
さらに、東京、東京大学、tokto、Tokyo、TOKYOとさらにバリエーションがあるから
設定した直後ならわかるかもしれないけど、時間が経てば忘れる
0090名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:40:10.42ID:N2RuQQDg
そういえば、免許の更新時にパスワード入れないといけないんじゃなかったっけ。
確か4ケタの数字を2つだったか。
忘れちゃったよ、どうしよう。
0091名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:41:24.03ID:yHs/d/yn
passwordの組み合わせの多さにUPUPしています
確か…、これだったよな違った、これだったか違った
新たなネットつなげれるアイテムで観れないTwitter
半強制的にちょっと変えないといけなくなった時に
メールパスワード変更、その後忘れそのPC以外
メールが受け取れない状況に^^;
0094名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:44:17.20ID:KrMdzYUf
漢字を使わせろ
以上
0095名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:47:44.87ID:f11G4Wsj
つまりインターネット上でパスワードが必要となるような情報のやりとりはすべきでないということ
こんなこと誰だってわかるわい、ニートの俺には関係ないがな
0096名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:49:05.15ID:fWNV5DpB
どうせアホでも覚えられる単語で少ない文字数なんだろ
0097名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:50:05.86ID:+Iwpngtt
>>86
しかも銀行やサイトによって出身校
の入力は漢字がだめだったり、OK
だったりするので、どちらで入れた
かなと迷う。
最初に買ったCD(レコード)の歌手は
とかも、洋楽だったりすると面倒w
0098名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:51:03.77ID:85Y3RriT
パスワード 8文字で  今時少なー
暗証番号4桁数字で  1万通りしかないの? クレカなのに
今はやりのパスフレーズ  効果あるのですかね 英単語並べただけなのに
パスワードジェネレーター 忘れてしまう
二段階認証  携帯番号を全世界に公開

パスワードトークン最強だと思うわ トークン無くす奴はきっと自宅のカギも無くしてるレベル
0099名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:52:52.19ID:iz4AHc9Z
メールの添付ファイルのパスワードをメールで送るw
0100名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:55:17.06ID:yQz78MnE
可哀想に、こんな馬鹿の意見を聞いてパスワード考えたり変更してたやつら・・・
0101名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:57:50.74ID:HlipD71w
結局人間が覚えやすいものは機械にとっても破り易いんだろう
自分でパス考える時代はそろそろ終わるのかも

>>32
それなら3つ分合わせた長い1つのパスワードにした方がいい
長いの一回当てるほうが時間が掛かる
0102名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:59:43.76ID:+Iwpngtt
>>99
それは一度目に送ってはダメな人に誤って
CCしてたりするのに、二度目のメールで、
パスワード送るときに気付いたりするから、
たまには役に立つ。

同じメール内にパスワード書くのは意味ないw
0103名刺は切らしておりまして
垢版 |
2017/08/11(金) 21:09:08.34ID:uxKAjyxl
>>99
パスワードは、
20170811
0104名刺は切らしておりまして
垢版 |
2017/08/11(金) 21:09:39.09ID:Lgq5ngVh
大文字小文字記号は勘弁してほしい。

何度か間違ったら、しばらく入力できなくなり
入力できない時間が、増えてくやつでいいだろ。

その間に、エラーをメール送信してくれたらさらにいい。
0105名刺は切らしておりまして
垢版 |
2017/08/11(金) 21:12:29.34ID:JajU3yLm
ていうか、何度か間違ったらエラーにしてしばらく再アクセスできないようにするだけでいい。
0107名刺は切らしておりまして
垢版 |
2017/08/11(金) 21:18:57.28ID:wIois3iV
>>8
昔だと間違いとは言えない。
初期のパスワードを破るプログラムは、英語の辞書に載っている単語を
使っていたからな。
ただ、その後、コンピュータの性能が上がると、全Asciiコードの
組み合わせを使うようになったので、意味がなくなった。
0113名刺は切らしておりまして
垢版 |
2017/08/11(金) 21:41:22.64ID:FWt1gtoq
>>112
お前は俺か
0114名刺は切らしておりまして
垢版 |
2017/08/11(金) 21:43:51.88ID:LkN9FMZw
アルファベットだからダメなんだよ。
世界一優秀なハングルを使用したら、誰もわかりやあせん。
0115名刺は切らしておりまして
垢版 |
2017/08/11(金) 21:51:42.55ID:BzF6SfbD
>>1
>しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。

そんなこと言ったらあらゆるパスワードは総当り攻撃でいつかヒットされるだろ
時間無制限なら

しかしアタックする時間には普通は制限があるので
0116名刺は切らしておりまして
垢版 |
2017/08/11(金) 22:00:20.15ID:hb9dwZ7G
大文字も数字もそれ自身は無意味だが
辞書に載っていないワードを作り出すためのルールとしてはある程度有効だ
0121名刺は切らしておりまして
垢版 |
2017/08/11(金) 22:18:38.51ID:/FPB+GNa
>>118
まともなサービスなとこならな
そういうセキュリティ意識が低いところもあるってことだ
後者に当てはまるサービスは使うな、使っても個人情報は残すな
そういうところで使うパスとまともなところのパスは分けろ
そういうこったな
ずさんなところで得たパスワードを使い回し狙って大手に突撃するのが
今の情報漏えいのトレンド
0122名刺は切らしておりまして
垢版 |
2017/08/11(金) 22:24:31.66ID:JlUCmtoA
質問に一々真っ正直に答える必要はない。
覚える必要もまったくなし。
なまじうろ覚えだと混乱するは必定。
暗号化して保存するのみ。
出身校は?
答え:チンコロリン村付属小学校 てな具合。
これを暗号化してSDカードとHDDに保存。
復号化してコピペOK。
現在、50本くらいあるID,パスワードはすべてこの方式。
ゆうちょなどはご丁寧に3本も質問要求してくるからにゃ〜。w
0123名刺は切らしておりまして
垢版 |
2017/08/11(金) 22:26:56.13ID:/FPB+GNa
質問の意図した回答にする必要ないだろう
小学校の頃の担任の先生は?
まんまんみてみてちんちんおっき

これでいい
0124名刺は切らしておりまして
垢版 |
2017/08/11(金) 22:39:48.62ID:z4v9gP0y
情シスから自社開発した生体認証システムより
元記事パターンのパスワードを推奨されて頭が痛い
ちなみに日本最大級の某IT企業系列勤務
0125名刺は切らしておりまして
垢版 |
2017/08/11(金) 23:23:49.50ID:Fzr3j9hf
>I want to go out and eat some ramen

長すぎ分からん4単語ぐらいにしてけろ
0127名刺は切らしておりまして
垢版 |
2017/08/11(金) 23:28:37.70ID:K7nxpMuR
長いパス使ってるわ。
自分しか知りえない言葉の組み合わせと自分にしか意味のない数字と打ち間違えを混ぜた奴。
0128名刺は切らしておりまして
垢版 |
2017/08/12(土) 00:20:07.73ID:yznwhj5H
>>125
ochinpomirukuderyuuuuuu
0129名刺は切らしておりまして
垢版 |
2017/08/12(土) 00:29:39.21ID:SBKQ3npj
記号が無意味なんじゃなくて、覚えづらくて短くしてしまうこと、辞書攻撃されそうな簡単な記号入り単語を使うのがよくないだけ
>>1の長いパスワードの適当な場所を記号や大文字にすればよりよいのは言うまでもない
文字種の多さより長さを重視しろいうならわかる
8文字小文字を8文字大文字小文字にするよりも16文字小文字のほうが強い
0131名刺は切らしておりまして
垢版 |
2017/08/12(土) 00:36:11.05ID:C1eBG/pH
パスワードの専門家もいるのか
0133名刺は切らしておりまして
垢版 |
2017/08/12(土) 01:59:20.07ID:YuFRgSf2
ダメダメ言ってるばかりで、ズバリどうしろって言えないのが一番ダメなんだろうね。

パスワードをメモしてはダメ。
パスワードマネージャーもダメ。
同じパスワードを他所で使ってはダメ。
短いのダメ。
繰り返しはダメ。
単語をそのまま使ってはダメ。
数字と特殊文字も入れないとダメ。
定期的に変更しないとダメ。

自分は結局パスワードマネージャ+自動生成された個別パスワード。
0134名刺は切らしておりまして
垢版 |
2017/08/12(土) 02:48:59.91ID:QpbuIUGO
パスワードじゃなくてメアドだけど
知ってるアラビア語の単語(わずか6文字)@キャリアのドメイン名
ってメアドで迷惑メールは3回しか来たことがない
一般的な英単語だと相手の思う壺なんだろが
0136名刺は切らしておりまして
垢版 |
2017/08/12(土) 03:11:54.10ID:maDLIVuA
>>1
なんで天文学が関係あるんだよって思ったら見間違いだった
0137名刺は切らしておりまして
垢版 |
2017/08/12(土) 03:26:20.62ID:/noJdHNI
>>133
パスワードをメモするのが問題でなく
メモしたパスワードの置き場が問題なんでしょ
0138名刺は切らしておりまして
垢版 |
2017/08/12(土) 05:59:21.27ID:ZQKlzCu9
人間の行いに意味もくそもあるかよ!!!
テレビなんて、今や金儲けの類
NTTのテレビ電話知っとるか???
じいちゃんばあちゃんが、子供と一緒に話しかけるCM没や!!!

終わりだこの国どっかにしまゑ
0142名刺は切らしておりまして
垢版 |
2017/08/12(土) 06:54:03.76ID:rfMYfFSC
>複数の単語をつなげて一つの文字列にする

これ、いいなw
好きな本の題名を変換しないで打つ感じで
0144名刺は切らしておりまして
垢版 |
2017/08/12(土) 06:57:14.43ID:B6xSeBDC
 


>しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。

おかしな論理。

そんなこと言ったらパスワード自体の否定だ、
どういうパスワードが良くて悪くてっていう話を散々話を引きずっといて
そこでちゃぶ台返しか?

総当たりでも破られにくいものはある。
それは長くすること。
指摘されるそうだから、論理を示さず先に強弁しただけに見える。


 
0145名刺は切らしておりまして
垢版 |
2017/08/12(土) 07:19:47.79ID:8mNThkRR
>>2
そう、変えたばっかりにパスワードを忘れて手続きに手間がかかったりする
砂金の銀行はワンタイムパスワード併用なのでパスワードはあまり気にしていない
0147名刺は切らしておりまして
垢版 |
2017/08/12(土) 08:37:09.09ID:KoiqyCCB
ゆうちょダイレクトなんかトークンを配っておきながら
ログイン自体は合言葉を何重にも聞いてやがる
0148名刺は切らしておりまして
垢版 |
2017/08/12(土) 08:49:42.98ID:o/+AP4X0
パスワードありきでワンタイムパスワードが来るから
パスワードは自動ログインにしているんだがサイトに
よっては一定期間がすぎると自動ログインが解除され
てしまうので控えて置かなければいけないんだよな。
0149名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:03:28.59ID:yaXaF2jF
総当たり攻撃とか機械を使うやつはいろんなパターンを物凄いスピードで入力するんだろ?
ゆっくり時間を掛けて入力しないと受け付けないようにすればいいんじゃね?
0151名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:07:05.88ID:yvitKJNH
今まで、かなり難解なパスワードを幾度となく設定してきたが、
数日後には忘れてしまい、メモした所在も忘れることが多いw
仮にメモした所在を覚えていても、呪文を間違えたドラクエ状態だし…
0152名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:14:20.42ID:pwmdRv/I
>「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることも
iPadがまさにそうだよな
しかもパスワード間違うとロックして永久に使えなくしやがるし
0153名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:22:32.58ID:EQf2Oceu
>>75
なんで?
単純に計算回数が増えるんだから解読までに時間が掛かるんじゃないの?
0154名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:23:39.89ID:pYwCM557
専門家の意見は尊重しないとな。覚えられないのメモに残したり、落したりもあるから・・・
0155名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:24:38.58ID:EQf2Oceu
>>149
>>1は理由が書かれてない糞記事だけど、それが理由なのかな?
入力サイト側で総当たり攻撃を防ぐ仕様になっていれば文字数増えたところで関係ないもんね。
0156名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:26:18.40ID:EOVSYO/8
>>144
元の記事の「定量的」な解説がこの漫画
https://xkcd.com/936/
英語だけどそんなに難しくないだろ
11文字程度の単語に色々工夫をして数字だとか記号を付け加えても2^28程度の情報量に
しかならない。少々の工夫+力押しの総当パスワードクラッカーを使ってwebサービスの
ログイン画面などに対して攻撃をかければ3日ぐらいで当たりが見つかってしまう

それに対して4つのランダムな単語を選んだ場合はどうなるか。基本単語を2000語程度
(=11ビット)とすれば関連の無い単語4つなら44bitで上と同じ条件で総当たりで探すと
550年程度はかかる。
これで不安ならもう一つ単語を増やして単語5つにすれば2000倍の複雑さになるので仮に
1つのパスワードアタックにかかる時間が1/10になったとしても解読には10万年かかるという
ことになる
30〜40文字のパスワードを受け付けるようにすればいいんだという話
0157名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:28:42.72ID:GVA/jPxx
セキュリティの世界は実はこの手の「因襲」や「信仰」だらけ。
騒がれる割りに、現実の被害でオープンに分析される事例が少ないからだ。
大して効果の無い「呪文」が、未だに責任逃れのために唱えられている。
0158名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:28:48.94ID:SFBlO1ws
漢字と平仮名片仮名使えるだけでかなり強度上がりそうといつも思ってる
0159名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:36:10.90ID:EOVSYO/8
>>158
漢字1文字は英単語1つに匹敵する情報量を持つので単語にならない漢字の文字列はパスワードとして有効だろうね
0160名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:40:20.58ID:B6xSeBDC
 


>>156

ますます変な記事だな。

最後に
>しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、別の対策を併用することも重要といえます。

なんて捨て台詞吐いてるww


 
0163名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:55:28.57ID:pcxPwP9f
>>13

おいばかやめろ
0164名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:55:35.22ID:EOVSYO/8
>>1のgigazineの記事がおかしいんだよ
WSJの元の記事はこれ
https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118
確認してみたけど
「しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。
そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、
別の対策を併用することも重要といえます。」
こんな文章はなかった
gigazineのクソ記者が付け加えた文章だな
0165名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:56:01.99ID:o/+AP4X0
一番やっかいなのはサイトの管理者とかは全て丸わかりだろ
そいつらが必ずしも善人とは限らないだろう盗むやつは盗む
0166名刺は切らしておりまして
垢版 |
2017/08/12(土) 10:01:03.33ID:C2G83HcY
「定期的にパスワードを変更すること」

かなり昔にこれを聞いた瞬間、おかしいと感じた。
複雑で長いパスワードなら、長期間同じでも破られる可能性は低い。
なので頻繁に変更はしなくてよい。
変更する前のパスワードが破られずに、変更したことが原因で変更後のパスワードが破られる可能性があるとすぐ気づいた。
だからパスワードは、頻繁に変更したことはない。

こうして専門家が誤りを認めてるのを見ると、自分の直感が正しかったのがよくわかる。
0167名刺は切らしておりまして
垢版 |
2017/08/12(土) 10:02:00.41ID:UYx9vEOn
定期的な変更は無意味どころか害だって昔から思っていたわ。
あれ、日付とかの数字を付けたパスワードにして、数字の所だけ変えている奴がほとんどだろ。
0169名刺は切らしておりまして
垢版 |
2017/08/12(土) 10:16:03.09ID:EQf2Oceu
>>164
gigazineとかキズモードの日本語訳記事は
内容捏造したりするから信用できないのが多いね。
あとは宣伝提灯記事。特にキズモードが酷い。
0170名刺は切らしておりまして
垢版 |
2017/08/12(土) 10:20:50.17ID:7qIaWCdN
パスワードなんて個人レベルだと破られるよりサービス側から流出することの方が多いからな
それ対策としてなら定期的に変更する意味が無いとは言えない
0172名刺は切らしておりまして
垢版 |
2017/08/12(土) 10:36:38.87ID:TuP2kRAO
木っ端個人のパスワードなんて流出しても大した価値はない
流出の規模が大きければ大きいほど無用の長物となる
0173名刺は切らしておりまして
垢版 |
2017/08/12(土) 11:29:18.39ID:0J6QK/6Q
クレカは破られたらカード再発行+保険で損害をカバーという考え方なので甘くていいんだよ
0174名刺は切らしておりまして
垢版 |
2017/08/12(土) 12:12:48.21ID:aEAgKCQy
かつては合ってた。
しかし、解析能力向上により無力化された、ぢゃねえの?

ま、今では無意味になったのは事実だが。
0175名刺は切らしておりまして
垢版 |
2017/08/12(土) 12:14:47.71ID:aEAgKCQy
>>20
俺も20年くらい経つかな?
0176名刺は切らしておりまして
垢版 |
2017/08/12(土) 12:18:04.59ID:rIBjml1y
>>118
> 普通、総当りなんてできなくね

キーロガー仕込まれたら、ワンタイムパスワード以外は全滅っすね。

銀行の4桁なんぞ、後ろに立ってる人いたら、暗記されてもおかしくないレベル。
コンビニATMの監視カメラに写ってるんじゃねーの
指先見えなくても、10パターンx4だから、推測可能だと思うわ、最新のAIで
0177名刺は切らしておりまして
垢版 |
2017/08/12(土) 12:19:07.60ID:07dHBWBI
どんな複雑なパスワードも、時間をかければ破られる可能性がある。
それは大文字や特殊文字を混ぜても大差なかったってこと?
けっきょく短期間で頻繁にパスワードを変えるしか方法はないの?
しかしそれも管理効率が悪い。
0178名刺は切らしておりまして
垢版 |
2017/08/12(土) 12:22:18.00ID:rIBjml1y
>>126
> >>111
> あれ仕組み分からん

ややこしい乱数発生器を作る。
乱数発生のシードをネット銀行が保管する。各口座ごとにシードは変える。
口座番号に対応したシードのトークを郵送。

同じシードからは、同じ乱数の数列が出るので、1分に1回とか順次発行していけば、答え合わせが出来る。
トロイ奴がいるから、前後5分くらいはOKにしてると思われ。
0180名刺は切らしておりまして
垢版 |
2017/08/12(土) 12:31:44.89ID:CUcdejrl
頻繁に変える事を安易なパスの理由にしなければ良いんだが、凡人には難しいんだろうな
0182名刺は切らしておりまして
垢版 |
2017/08/12(土) 12:50:36.64ID:+s04mRBq
爺さんばかりの職場とかIDとパスワードが壁にデカデカと貼ってあったりする
0183名刺は切らしておりまして
垢版 |
2017/08/12(土) 12:50:37.55ID:rIBjml1y
>>180
一定期間ごとに強制的に変えさせるところがある
過去3回までのは使用不可
ほぼ意味ない
ローテーションされるだけ
0184名刺は切らしておりまして
垢版 |
2017/08/12(土) 13:01:28.04ID:OwbwMx1j
>>135
他人の褌で相撲をとるw
0185名刺は切らしておりまして
垢版 |
2017/08/12(土) 13:04:42.18ID:OwbwMx1j
>>173
利用者の過失に応じて変更される
0186名刺は切らしておりまして
垢版 |
2017/08/12(土) 13:13:20.33ID:zEWiuCCa
>>166
> 複雑で長いパスワードなら、長期間同じでも破られる可能性は低い。

パスワードの保存形式と認証のやり方によるよ

よくあるハッシュ関数を用いる方法だと
1文字のパスワードも100文字のパスワードも
照合に使われるデータの長さは同じ
0189名刺は切らしておりまして
垢版 |
2017/08/12(土) 13:19:02.75ID:zEWiuCCa
>>167
人間そんなもんだよね
挙げ句の果てにはパスワードをディスプレイやキーボードにポストイットで貼ったりもする

実運用的には無理に変えさせない方がまだマシだと思う
でも変えさせないシステム監査で引っかかる
0190名刺は切らしておりまして
垢版 |
2017/08/12(土) 13:30:34.66ID:70fLZ5l5
サイトによってパスワードが十数文字しか登録できなかったりしてて(有名どころでも)
なんで長いパスワードを登録出来ないのか疑問なんだけど
長いとサイト運営者には負担がかなり大きくなるのか?
0191名刺は切らしておりまして
垢版 |
2017/08/12(土) 13:32:16.82ID:tsv3eeLy
パスワード自体が意味がない
0194名刺は切らしておりまして
垢版 |
2017/08/12(土) 14:04:56.47ID:07dHBWBI
量子コンピュータやDNAコンピュータが開発されれば、
パスワードを使ったセキュリティモデルはどうせ
有効性を失ってしまうんでしょ?
新たなモデルが必要になる。
0195名刺は切らしておりまして
垢版 |
2017/08/12(土) 14:42:19.42ID:yaXaF2jF
>>155
同じパスワードでも人によってキー入力のスピードやタイミングに癖が出るんだけど、それを生体認証にしてパスワードが漏れても本人の入力以外は受け付けないとか出来るらしい
0197名刺は切らしておりまして
垢版 |
2017/08/12(土) 17:33:10.09ID:PUfqKKqP
疑似乱数というのは予想されるからセキュリティとしては弱い
ではどうすれば本当の乱数が得られるか 放射性物質の崩壊の
タイミングはその条件を満たすと考えられている ということは
ガイガーカウンター等の機器はそうした乱数を得る道具として使える
のだ
0198名刺は切らしておりまして
垢版 |
2017/08/12(土) 19:31:53.43ID:r2Ua8lqQ
パスワードなんて電話番号の下4桁とか車のナンバーとかそんなのでいいんだよ
セキュリティでやるなら4桁とかほとんど無意味なんだし
0199名刺は切らしておりまして
垢版 |
2017/08/12(土) 19:52:48.89ID:76f6G+5T
パスフレーズによる長文パスワードこそ最強ってマイクロソフトも言ってたな
記憶の中に留めることが可能ならパスワードの変更も不要、と
0201名刺は切らしておりまして
垢版 |
2017/08/12(土) 19:59:46.65ID:zN+pKWA+
とりあえず1234567890から始めておけば良いんですね
0202名刺は切らしておりまして
垢版 |
2017/08/12(土) 20:43:37.20ID:CRRGi9Kt
ドトールコーヒーは悪の結社、創価学会の
一員だ
集団ストーカーを行なってる
エクセルシオールカフェ赤羽東口店(現在ドトールグループ サンメリー赤羽店)閉店は証拠隠滅
ドトールも創価も法的措置を取らないのは
事実だからです
とうきょうときたくあかばねは
そうかのまち

「平和があるように」と挨拶しなさい。

(新約聖書『マタイによる福音書』10章12節から)
0203名刺は切らしておりまして
垢版 |
2017/08/12(土) 21:52:31.96ID:SSiJ0xxa
今頃わかったのか
ソーシャルエンジニアリングや総当りは天下無敵だとわかっていたよ
所詮人の内部の知恵
人に解けないはずがない
絶対崩せない暗号だって矛と盾だよ
数学の天才も、量子数学もいずれは解ける
複雑なだけ
0204名刺は切らしておりまして
垢版 |
2017/08/12(土) 22:59:12.27ID:X8GY9U6Q
ウェブ上には見られても困らんものしか放流しない
っていう原則を守ればいいだけの話
大文字入れて安心してる奴なんていないだろ
0205名刺は切らしておりまして
垢版 |
2017/08/13(日) 01:48:17.41ID:mTt61Jqw
パスワード再入力まで時間制限設けるか、
何度か失敗したらロックかければ良いだけちゃうの?
0207名刺は切らしておりまして
垢版 |
2017/08/13(日) 03:13:32.38ID:mTt61Jqw
>>206
じゃあ、時間制限でいいじゃん。
0208名刺は切らしておりまして
垢版 |
2017/08/13(日) 03:20:48.53ID:ozLTQ5lB
銀行や証券会社ならパスワードに大文字小文字数字記号をすべて使えとか許せるが
ストアの会員ページでこれやらせるとかアホかと
0209名刺は切らしておりまして
垢版 |
2017/08/13(日) 04:43:02.99ID:zi58HRAP
パスワードハングルのしたらいいですニダ。
世界最高峰の暗号と言われてます。

ただこれは韓国が起源なので、使った場合は謝罪と賠償がもれなく付いてくるお得なサービスです。
0210名刺は切らしておりまして
垢版 |
2017/08/13(日) 07:23:33.57ID:AfRBdH3k
passwordを
p@ssw0rdにする、みたいな奴は
変換パターンが限られてるしあまり意味ないんじゃないかな、とは思っていた
0211名刺は切らしておりまして
垢版 |
2017/08/13(日) 08:45:02.35ID:0HSVjJl/
以前この手のスレで
「日本語OKにすれば解決」
という意見を見た

パスワードを解くコンピュータ側からすると
アルファベットだけじゃなく
漢字、平仮名、片仮名も入ると
同じ言葉でも桁が違いすぎて
解くのが不可能らしい
0212名刺は切らしておりまして
垢版 |
2017/08/13(日) 08:50:34.60ID:MY0ecsGn
>>31
文字コードで入力されると仮名漢字関係ない。
0214名刺は切らしておりまして
垢版 |
2017/08/13(日) 09:13:08.06ID:bTzhC15R
>pa$$w0rD

こういうのは辞書登録されているpasswordというワードを使っている時点で、
ちょっと小細工して$や0やDを入れた所で比較的簡単に破られてしまうと思う。

特殊記号の数、インド=アラビア数字の数は限られているし、小文字か大文字かの
入れ替えも単純な二分法にすぎる。

元になる文字列も世界のどんな辞書にも載っていないデタラメなものにすべきだが、
そうなると人間の脳が記憶しづらいというパスワード管理上の難点が生じて
トレードオフなんだよね。
0215名刺は切らしておりまして
垢版 |
2017/08/13(日) 09:15:54.05ID:bTzhC15R
パスワードに日本語が使えるようにならないのがダメ。
日本語は現存する言語の中ではもっとも複雑な文字体系を持っている。
0216名刺は切らしておりまして
垢版 |
2017/08/13(日) 09:54:10.21ID:XaUd5G5A
>>209
日本人は人類の文字そのものの起源を主張してるんだっけ
0217名刺は切らしておりまして
垢版 |
2017/08/13(日) 10:08:25.68ID:HktuLYAm
otintinBR0-N
0220名刺は切らしておりまして
垢版 |
2017/08/13(日) 12:20:17.03ID:9osU2dXG
あらゆるパスワードは全部Evernoteに記入してクラウドで管理してる
セキュリティ上どうこう言われるかもしれんが、
そうじゃないともう管理できない
0221名刺は切らしておりまして
垢版 |
2017/08/13(日) 12:29:06.20ID:DL0tbUr3
>>220
Evernoteがいいかどうかは判らんが多くのアカウントを持っているなら使い勝手のいいパスワードマネジャーを使い、パスワードデータはAESなどで暗号化しておくのがいい
コピペやパスワードマネジャーを排除するようなサイトはセキュリティ的には有害だよね
0222名刺は切らしておりまして
垢版 |
2017/08/13(日) 12:49:09.37ID:iEP8a+Hp
いい加減、生体認証に移行しろよ。
いくらパスワード使っても、解析ツールで破られるのがオチなんだから。
0223名刺は切らしておりまして
垢版 |
2017/08/13(日) 13:22:45.42ID:R31RlKbB
>>222
生体認証は指紋なら型を取れる、虹彩なら写真で突破できるなど問題がないわけじゃない
盗まれたら両手と眼球移植するか?
それだけ重要性が高いなら複数要素で認証するしかない
0224名刺は切らしておりまして
垢版 |
2017/08/13(日) 13:37:03.87ID:R31RlKbB
>>222
それで解析ツールで解析できるのがわかっていても解析するのに何百年、何千年かかるなら実質的に問題ない。
そうするにはパスワードを長くする(パスフレーズ)のが効果があるという話
10年ぐらいの間なら単語4つも組み合われは充分。ランダムな単語5つなら殆ど解読不能と言っていい。
クラウドで何千台を並列して解読しても100年ぐらいでは無理。量子コンピュータがカジュアルに使えるようになったら考える必要はあるが
0225名刺は切らしておりまして
垢版 |
2017/08/13(日) 17:00:11.87ID:oiFJufj2
総当たりで解析するにしても、常に一番最後の組み合わせが正解とは限らないので、解析に
理論上○○年かかるといった話は無意味。

一方で、パスワードの文字数に関係なくハッシュで保存しているから、短いパスワードと
長いパスワードも安全性は同じというのも間違い。
0226名刺は切らしておりまして
垢版 |
2017/08/13(日) 17:42:55.39ID:lVnlJxFj
様々な所で使う長いパスワードを覚えきれなくなって
本末転倒になるケースばっかり・・・・・

どれだけの労力が失われたことか
0227名刺は切らしておりまして
垢版 |
2017/08/13(日) 17:57:54.19ID:MVpeNOSu
パスワードを共通にするのが一番危険でしょ
と言う事でパスワード管理ソフトが無いとどこにもログインできない状態に
0229名刺は切らしておりまして
垢版 |
2017/08/13(日) 20:07:38.66ID:tus1sLze
パスワードなんかなくてもいいんだよ
誰が入ったのかさえわかればいいの
自分のPCのナンバーを正しく書かないと
どこにも入り込めなくすればいいだけ
自分のマシンが承認すればいいの
0231名刺は切らしておりまして
垢版 |
2017/08/13(日) 20:46:01.56ID:R31RlKbB
>>225
こういう場合に「常に一番最後の組み合わせが正解」なんて狂った前提をする奴がいるとは思わなかった
通常は平均時間を使う。つまり正解が見つかる可能性が50%になるまでの時間を使う。この場合は線形検索
になるから1/2の時間となるがこれでは不十分に感じる人も多いだろう。
厳密な議論をしてもわかりにくいので以下の話に代えさせてもらう。

1単語11bit相当とした例に従い5単語を使ったパスフレーズを使用した場合総当たりの全組み合わせは2^55
=36028797018963968(3京6028兆)つまり最初の1回で当たる確率は1/3京6000兆程度
1億回の試行を繰り返しても当たる確率は3600万分の1で宝くじの1等よりも確率は低い。
つまり十分に広い組み合わせの空間を用意してやれば力技での探索は難しくなる
0232名刺は切らしておりまして
垢版 |
2017/08/13(日) 21:05:57.17ID:oiFJufj2
>>225
単語の組み合わせなんて使うのは、馬鹿の極み。 おまえ、プログラム書いたこと
のないだろ。 平均だろうが、結局のところ単なる机上の確率論でしかない。

まぁ普通は、Websサービスなんかで総当たりアクセスなんてすると、クラック行為とみな
してアカウント無効化などの処理を行うが、パスワードハッシュが漏れるなどしてしかも
暗号化が既知である場合、オフラインで無制限にリトライできる。
0235名刺は切らしておりまして
垢版 |
2017/08/14(月) 05:49:03.62ID:y2n/qa7M
>>1
0120-333-906
0236名刺は切らしておりまして
垢版 |
2017/08/14(月) 07:50:45.47ID:VPK0fwy7
>>2
俺は10年ぐらい無視してたら口座凍結されたわw再開手続きをしないと使えませんと
パスワードを変更してくださいの封筒が5回ぐらい届いた
現在のシステムを廃止するから新しい物に登録してください無視
システム変更手続きの書類も無視
口座止まる
0239名刺は切らしておりまして
垢版 |
2017/08/15(火) 01:04:12.08ID:+rTQohfW
なんか昔イーバンクバンク銀行だっけ?
口座番号の総当たりブルートフォース受けて
大量のアカウントロック掛けられて
客が阿鼻叫喚やったことなかった?
で、その対策が、全然違うパスワードならノーカウント
惜しい間違い3カウントで口座ロックだったかと
それはそれで、皆して総(゜o゜)\(-_-)突っ込みウケてた
0240名刺は切らしておりまして
垢版 |
2017/08/15(火) 01:05:29.83ID:CmnVTryG
で結局どんなパスワードだといいんだよ
0241名刺は切らしておりまして
垢版 |
2017/08/15(火) 01:17:28.29ID:XfPOleaO
寿限無とか般若心経なら破られんだろ
打つのが大変だけど
0242名刺は切らしておりまして
垢版 |
2017/08/15(火) 01:19:43.26ID:CmnVTryG
>>241
じゅげむ や はんにゃたらみじ でた時点で先が想像できちゃうやんけ
0243名刺は切らしておりまして
垢版 |
2017/08/15(火) 01:22:52.47ID:XfPOleaO
>>242
パスワード総当たりに最初の数文字だけ正解という判定は無いだろ
全くの間違いか正解かのどっちか
0244名刺は切らしておりまして
垢版 |
2017/08/15(火) 01:30:02.85ID:LFVcBUUk
安全なパスワードは、
パスワード登録してから、一度も パスワード変更していないパスワードを使い続ける事だ

っと、パスワードの専門家が、数か月前に 言ってたな。
0245名刺は切らしておりまして
垢版 |
2017/08/15(火) 01:38:08.85ID:2fxlV/fc
>>3
たな
アルファベット26 + 数字10文字で36パターンだったら
1日ごとに10文字のパスワードを使うより1ヶ月ごとに11文字のパスワードを使う方が破られにくい
0246名刺は切らしておりまして
垢版 |
2017/08/15(火) 01:39:09.53ID:etHpqEUI
こいつのせいで世界的にどれだけの経済損失を被ったんだろな
金額にするととんでもないことになるだろ
0247名刺は切らしておりまして
垢版 |
2017/08/15(火) 01:53:01.45ID:S+Fi81cD
解析をPCでやれば、そりゃあっという間だろ
0248名刺は切らしておりまして
垢版 |
2017/08/15(火) 02:08:43.43ID:/AsYtWyY
>>45
unix文化だと閉じたNW上のサーバはみんなadm/admとか?
0249名刺は切らしておりまして
垢版 |
2017/08/15(火) 06:30:44.89ID:Oc3NtObl
結局のところ、同じパスワードを使いまわすのが駄目なだけ
若干でも変化をかければいい
とはいえ文字数制限がキツいところはどうにかならんかね・・・
0251名刺は切らしておりまして
垢版 |
2017/08/15(火) 08:26:06.02ID:0qPYjExf
結局、どんなPWを使っても単純な確率と使用者に関する知識の問題。
従って、重要なアカウントの保護には2段階認証等、他の方法を採用しろって事だな
0252名刺は切らしておりまして
垢版 |
2017/08/15(火) 08:41:49.35ID:hTdZ2LvD
>>242
「球児好児の右好児」みたいに途中でちょっと間違っておくと
予想が外れて、あれっ?あれっ?
という効果が出るのではないか
0253名刺は切らしておりまして
垢版 |
2017/08/15(火) 08:47:04.49ID:qGGIZ426
>>1
パスワードには必ず「ラーメン」を入れるのか。 メモメモ
0255名刺は切らしておりまして
垢版 |
2017/08/15(火) 15:35:08.72ID:ymznMcc5
つかユーザー側からしたら、100文字とか200文字とか長いパスワードを登録できるようにしてもらいたくね?

そうすれば破られる可能性が大分下がるだろ? なんでサイト側はやらないんだ?
0257名刺は切らしておりまして
垢版 |
2017/08/15(火) 18:11:26.82ID:/KvhVIXx
>>255
復活の呪文で泣いた奴が何人いたと思ってるんだよ w

って言うのがわかる奴はどれぐらいいるんだろう...
0258名刺は切らしておりまして
垢版 |
2017/08/15(火) 20:14:20.67ID:2fxlV/fc
>>255
辞書攻撃の代わりに歴史的名言や有名な言い回しが攻撃対象になるだけ
あと文字数が多いとタイプミスの確率が多くなり正しいユーザーが弾かれやすくなる
それにユーザーも100文字入力するのは手間だろ
0259名刺は切らしておりまして
垢版 |
2017/08/15(火) 20:51:19.13ID:gzV5lZxn
     放 射 能 に 感 謝 の 気 持 ち を 送 り ま す


「私は放射能に感謝の気持ちを送ります。ありがとう・・・」      安倍昭恵
https://twitter.com/HON5437/status/882117283757178880

練習後走り倒れた女子マネジャー死亡 新潟の高校野球部
http://www.asahi.com/articles/ASK8656TGK86UOHB00S.html

帰宅した長男(8)が発見。東京、墨田区30代の女性の突然死。
https://twitter.com/onodekita/status/857915526609117185

漫画家の訃報 昨年までは7名前後、今年はなんと20名以上亡くなっている
https://twitter.com/東海アマ/status/856617404234846208

第16回日本心不全学会学術集会
「心不全パンデミック」大震災における心不全の増加はこれまで報告がない。

『チェルノブイリの祈り』
たくさんの人があっけなく死んでいく ベンチに座ったまま バスを待ちながら
説明のつかない死が多かった 多くの人が脳卒中や心筋梗塞を起こした 駅やバスの中で

小泉義仁(51) 、駅で脳梗塞。  ス  ピ  リ  チ  ュ  ア  ル  T  V
森岡賢(49)、、心不全。     元  ソ  フ  ト  バ  レ  エ
飯野賢治(42) 、心不全。    D  の  食  卓
今井洋介 (31) 、心筋梗塞。   テ  ラ  ス  ハ  ウ  ス
木村唯(18)、右足切断、筋肉腫。 花 や し き 少 女 歌 劇 団
0261260
垢版 |
2017/08/15(火) 21:23:19.45ID:DWrhED7t
失礼
8
0264名刺は切らしておりまして
垢版 |
2017/08/16(水) 09:14:18.32ID:/qNQeNa7
>>258
100文字は無駄かも知らんけど40文字(単語にして4〜5)の他人にとっては無関係に見える単語列で十分だという話をしているのが>>1
ありがちな手としては聖書○ページの○行目から縦読み(で当たる単語)とか
○ページから○ページの先頭の単語とか
0265名刺は切らしておりまして
垢版 |
2017/08/16(水) 09:16:00.78ID:/qNQeNa7
あと
大文字小文字、記号の切り替えは手間なので排除できるのもメリットだとか書いてあったな
0266名刺は切らしておりまして
垢版 |
2017/08/16(水) 09:21:11.96ID:/qNQeNa7
関係ないけどそのページのカタカナだけ拾い読みすると放送禁止用語になる小説とか小松左京ほか数名が書いていた
0268名刺は切らしておりまして
垢版 |
2017/08/17(木) 08:40:34.06ID:gajqbKVT
アメリカTVドラマではどんな暗号でも解析ソフトにかけられてすぐ暗号解読できたりする
あるいは天才ハッカーがあちこちにいたりする
0269名刺は切らしておりまして
垢版 |
2017/08/17(木) 17:45:19.04ID:MxdEz1WQ
     自 分 の 手 は 汚 さ な い ん で し ょ ?


上原多香子の『グータンヌーボ』での発言


優香  どうやって別れるの?
上原  私、あまり・・・言わせちゃうかもしれない
小池  え・・・

優香  向こうから?
上原  あんまり、そういう言葉を切り出すのができないから
小池  追い込むんだ? 自分の手は汚さないんでしょ?

上原  ズルいって言われた事があるかも
小池  凄くない・・・?


【閲覧注意】上原多香子の不倫事件、実は凄い真相が隠されていたのでは・・・
https://www.youtube.com/watch?v=idErOfCwAIQ
0270名刺は切らしておりまして
垢版 |
2017/08/17(木) 20:58:29.50ID:2cRVLXbi
>>264
>ありがちな手としては聖書○ページの○行目から縦読み(で当たる単語)とか
○ページから○ページの先頭の単語とか


これをやめろと言ってるの
こんな誰でも思い付くもの簡単に予測されるわ
上記の方法にプラスしてアルファベット一文字二文字ずらす方法も同様

お前さんが40文字のパスワードのパターンを10^20個考えろと言われたら間違いなく考え付くだろ
余裕で突破される
0271名刺は切らしておりまして
垢版 |
2017/08/18(金) 10:11:36.30ID:FprqitBW
>>270
> お前さんが40文字のパスワードのパターンを10^20個考えろと言われたら間違いなく考え付くだろ
> 余裕で突破される
え?本気でそんなこと言ってんの?
もしそうならプログラミングはまあいいとして設計は任せられないからそっち方面の仕事はしないほうがいい
何で10^20なのか知らんけど6単語というところだな。この仮定でいいか
1回の試行がまあ高性能のシステムつかっているとして0.1μSで照合できるとする
平均5×10^12秒程度で確かに当たるよ
15万8000年ぐらいだけどな
32万年かけるか100万台規模のクラスタ使えば余裕かもしらんな。それがコストに見合うなら

ああ、出版社違えば版組変わるから同じ聖書でも同じにならない。それでも気になるなら自分の書いた卒論の英文アブストラクトでも使えばいい
0272名刺は切らしておりまして
垢版 |
2017/08/18(金) 10:40:39.90ID:BHP7ujgV
日本語の他に、ヘブライ語、タイ語、アラビア語みたいな解読が難解な文字もOKにすればいい
0276名刺は切らしておりまして
垢版 |
2017/08/18(金) 20:28:07.09ID:xNlBCLmC
>>1
タイトルが悪い
一般的に大文字や記号を入れることは意味ある
辞書攻撃でやられてしまうようなパスワードの一部を大文字や類似形の記号に入れ替えても意味ないだけ
そういうのはlibcrackの走査対象
0277名刺は切らしておりまして
垢版 |
2017/08/18(金) 20:33:59.43ID:zFyODvsZ
>>271
アホだな
パターンごとの期待値は均一ではなく
パスワードに使われやすいパターンがあるってのが問題なの
そのために既存のパターンと既存パターンを単純な変換で求めたパターンは大した数じゃない
あと君は思いつかないようだが世界にコンピュータは一台ではないしサーバーも一台ではない、もちろんパスワードを求めるサイトも一つではない
そのため実際にクラックする場合は数百万台のPCを乗っ取り並列して行うことになるため君の計算は的外れもいいとこ
0279名刺は切らしておりまして
垢版 |
2017/08/18(金) 20:56:51.45ID:xNlBCLmC
>>278
認証?
攻撃のこと?
パスワードが6文字しかなけりゃ
全ビットパターンを一日かからず総当りできるぞ
0283名刺は切らしておりまして
垢版 |
2017/08/18(金) 22:34:27.07ID:aYOEGwH4
パスワードとか、もう時代遅れ。
これからはWindowsHelloで顔認証の時代。

WindowsHelloで認証されれば、そのままActiveDirectory
にもサインアップ。
ADサーバーから、この人は認証済みですの証明書が発行
されるので、どこのサイトもパスワードなしで入れるようになる。

早くそうなるべき。
0287名刺は切らしておりまして
垢版 |
2017/08/19(土) 23:03:33.89ID:bldqYboy
>>283
写真で認証される
>>284
さすがにそれはひど過ぎ
今どきの賢い顔認証は眼鏡ぐらいなら何とかする
サングラスにマスクしたらダメかもだけどそれ何のため?
0288名刺は切らしておりまして
垢版 |
2017/08/19(土) 23:13:50.64ID:bldqYboy
>>277
>パスワードに使われやすいパターンがあるってのが問題なの
>そのために既存のパターンと既存パターンを単純な変換で求めたパターンは大した数じゃない
せめて>>1と元の記事
https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118
は読もうよ。全然読んでないのバレバレじゃん。こっちが要点の開設だから見たほうがいいよ
https://xkcd.com/936/

>あと君は思いつかないようだが世界にコンピュータは一台ではないしサーバーも一台ではない、
>もちろんパスワードを求めるサイトも一つではない
こんな今どき小学生でも知っていることを言ってドヤってもねぇ
私はこれ↓にも参加してたよ。1999年かぁ前世紀の話だよこれ
http://www.distributed.net/DES/ja

まあ、もうちょっと勉強したほうがいいかもしれないね。それより性格直したほうがいいか
0291名刺は切らしておりまして
垢版 |
2017/08/20(日) 10:31:03.32ID:eQg2xZOE
>>288
申し訳ないが>>277>>1を踏まえた話じゃないんだ
読めば分かると思うけど

>こんな今どき小学生でも知っていることを言ってドヤってもねぇ

知らないの君であって私ではない
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況