【IT】パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
パスワードを安全なものにするためには、アルファベットの場合は大文字と小文字を入り交ぜたり、数字や記号を加えたりすることが効果的だと考えられているわけですが、かつてこのルールを提唱していた専門家はいま、「大文字も数字も記号も、意味がなかった」と過去の発言の誤りを認めて後悔していると語っています。 驚きの後悔をWall Street Journalに語ったのは、かつてアメリカ国立標準技術研究所の所長を務め、現在は退任したビル・バー氏です。バー氏は、2003年に発表された安全なパスワードを作るためのガイドラインに携わっていた人物で、その中では「大文字と小文字を併用すること」「数字と記号を混ぜること」「定期的にパスワードを変更すること」という方法が推奨されていました。 ここで推奨されていたのが、例えばパスワードに「password」という言葉を設定していた場合だと、大文字を入れて「paSSworD」とする方法や、記号や数字を入れて「pa$$w0rD」と変化させるというもの。しかし、これらの方法は当時の現状を調査した内容に基づいているものではなく、1980年に書かれた論文の内容をもとにしたものだったため、その信頼性はあまり高くなかった模様。 また、あまり頻繁にパスワードを変更するのも良くないどころか、非効率的で、さらにはハッカーにパスワード変更のパターンを見抜かれてしまう危険すら生じるとのこと。現在72歳というバー氏はWSJに対して「私がしてきたことの多くを、今は後悔しています」と語ったそうです。 これまで推奨されてきた方法は、おそらく誰でも一度は耳にしたことがあるものであり、場合によってはパスワードを作る時に「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることもあるほど。本人自らが否定してしまった「パスワードの作り方」ですが、これとは別に推奨されているのが、複数の単語をつなげて一つの文字列にする、というもの。例えば「I want to go out and eat some ramen」(外に出かけてラーメンを食べたい)という文章をギュッと圧縮して「iwanttogooutandeatsomeramen」というふうにすれば、効率よく、しかも忘れにくい長文のパスワードを作ることができる、とのことです。 しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、別の対策を併用することも重要といえます。 http://gigazine.net/news/20170810-password/ 銀行口座とか5回間違えると凍結だから、総当りなんかできねえよな >>118 まともなサービスなとこならな そういうセキュリティ意識が低いところもあるってことだ 後者に当てはまるサービスは使うな、使っても個人情報は残すな そういうところで使うパスとまともなところのパスは分けろ そういうこったな ずさんなところで得たパスワードを使い回し狙って大手に突撃するのが 今の情報漏えいのトレンド 質問に一々真っ正直に答える必要はない。 覚える必要もまったくなし。 なまじうろ覚えだと混乱するは必定。 暗号化して保存するのみ。 出身校は? 答え:チンコロリン村付属小学校 てな具合。 これを暗号化してSDカードとHDDに保存。 復号化してコピペOK。 現在、50本くらいあるID,パスワードはすべてこの方式。 ゆうちょなどはご丁寧に3本も質問要求してくるからにゃ〜。w 質問の意図した回答にする必要ないだろう 小学校の頃の担任の先生は? まんまんみてみてちんちんおっき これでいい 情シスから自社開発した生体認証システムより 元記事パターンのパスワードを推奨されて頭が痛い ちなみに日本最大級の某IT企業系列勤務 >I want to go out and eat some ramen 長すぎ分からん4単語ぐらいにしてけろ 長いパス使ってるわ。 自分しか知りえない言葉の組み合わせと自分にしか意味のない数字と打ち間違えを混ぜた奴。 >>125 ochinpomirukuderyuuuuuu 記号が無意味なんじゃなくて、覚えづらくて短くしてしまうこと、辞書攻撃されそうな簡単な記号入り単語を使うのがよくないだけ >>1 の長いパスワードの適当な場所を記号や大文字にすればよりよいのは言うまでもない 文字種の多さより長さを重視しろいうならわかる 8文字小文字を8文字大文字小文字にするよりも16文字小文字のほうが強い ダメダメ言ってるばかりで、ズバリどうしろって言えないのが一番ダメなんだろうね。 パスワードをメモしてはダメ。 パスワードマネージャーもダメ。 同じパスワードを他所で使ってはダメ。 短いのダメ。 繰り返しはダメ。 単語をそのまま使ってはダメ。 数字と特殊文字も入れないとダメ。 定期的に変更しないとダメ。 自分は結局パスワードマネージャ+自動生成された個別パスワード。 パスワードじゃなくてメアドだけど 知ってるアラビア語の単語(わずか6文字)@キャリアのドメイン名 ってメアドで迷惑メールは3回しか来たことがない 一般的な英単語だと相手の思う壺なんだろが >>64 世間ではそれをリスクベース認証といってな >>73 PSTN網使った二段階認証はオワコン(NIST談) >>1 なんで天文学が関係あるんだよって思ったら見間違いだった >>133 パスワードをメモするのが問題でなく メモしたパスワードの置き場が問題なんでしょ 人間の行いに意味もくそもあるかよ!!! テレビなんて、今や金儲けの類 NTTのテレビ電話知っとるか??? じいちゃんばあちゃんが、子供と一緒に話しかけるCM没や!!! 終わりだこの国どっかにしまゑ 3回間違えたらアウトでいいじゃん? 総当りを許可してるのが問題でしょうに >>82 敵国の核ミサイルを自国の核ミサイルで打ち落とすわけじゃないぞ? >>139 IDが推察できる場合(email addressとか)、嫌いなやつをロックアウトするのが簡単になるじゃん? >複数の単語をつなげて一つの文字列にする これ、いいなw 好きな本の題名を変換しないで打つ感じで >>113 お前も俺か 俺Newebのパスワードだわ >しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。 おかしな論理。 そんなこと言ったらパスワード自体の否定だ、 どういうパスワードが良くて悪くてっていう話を散々話を引きずっといて そこでちゃぶ台返しか? 総当たりでも破られにくいものはある。 それは長くすること。 指摘されるそうだから、論理を示さず先に強弁しただけに見える。 >>2 そう、変えたばっかりにパスワードを忘れて手続きに手間がかかったりする 砂金の銀行はワンタイムパスワード併用なのでパスワードはあまり気にしていない >>79 それはパスワードが原因のセキュリティ問題じゃ無くね? ゆうちょダイレクトなんかトークンを配っておきながら ログイン自体は合言葉を何重にも聞いてやがる パスワードありきでワンタイムパスワードが来るから パスワードは自動ログインにしているんだがサイトに よっては一定期間がすぎると自動ログインが解除され てしまうので控えて置かなければいけないんだよな。 総当たり攻撃とか機械を使うやつはいろんなパターンを物凄いスピードで入力するんだろ? ゆっくり時間を掛けて入力しないと受け付けないようにすればいいんじゃね? 今まで、かなり難解なパスワードを幾度となく設定してきたが、 数日後には忘れてしまい、メモした所在も忘れることが多いw 仮にメモした所在を覚えていても、呪文を間違えたドラクエ状態だし… >「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることも iPadがまさにそうだよな しかもパスワード間違うとロックして永久に使えなくしやがるし >>75 なんで? 単純に計算回数が増えるんだから解読までに時間が掛かるんじゃないの? 専門家の意見は尊重しないとな。覚えられないのメモに残したり、落したりもあるから・・・ >>149 >>1 は理由が書かれてない糞記事だけど、それが理由なのかな? 入力サイト側で総当たり攻撃を防ぐ仕様になっていれば文字数増えたところで関係ないもんね。 >>144 元の記事の「定量的」な解説がこの漫画 https://xkcd.com/936/ 英語だけどそんなに難しくないだろ 11文字程度の単語に色々工夫をして数字だとか記号を付け加えても2^28程度の情報量に しかならない。少々の工夫+力押しの総当パスワードクラッカーを使ってwebサービスの ログイン画面などに対して攻撃をかければ3日ぐらいで当たりが見つかってしまう それに対して4つのランダムな単語を選んだ場合はどうなるか。基本単語を2000語程度 (=11ビット)とすれば関連の無い単語4つなら44bitで上と同じ条件で総当たりで探すと 550年程度はかかる。 これで不安ならもう一つ単語を増やして単語5つにすれば2000倍の複雑さになるので仮に 1つのパスワードアタックにかかる時間が1/10になったとしても解読には10万年かかるという ことになる 30〜40文字のパスワードを受け付けるようにすればいいんだという話 セキュリティの世界は実はこの手の「因襲」や「信仰」だらけ。 騒がれる割りに、現実の被害でオープンに分析される事例が少ないからだ。 大して効果の無い「呪文」が、未だに責任逃れのために唱えられている。 漢字と平仮名片仮名使えるだけでかなり強度上がりそうといつも思ってる >>158 漢字1文字は英単語1つに匹敵する情報量を持つので単語にならない漢字の文字列はパスワードとして有効だろうね >>156 ますます変な記事だな。 最後に >しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、別の対策を併用することも重要といえます。 なんて捨て台詞吐いてるww >>1 のgigazineの記事がおかしいんだよ WSJの元の記事はこれ https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118 確認してみたけど 「しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。 そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、 別の対策を併用することも重要といえます。」 こんな文章はなかった gigazineのクソ記者が付け加えた文章だな 一番やっかいなのはサイトの管理者とかは全て丸わかりだろ そいつらが必ずしも善人とは限らないだろう盗むやつは盗む 「定期的にパスワードを変更すること」 かなり昔にこれを聞いた瞬間、おかしいと感じた。 複雑で長いパスワードなら、長期間同じでも破られる可能性は低い。 なので頻繁に変更はしなくてよい。 変更する前のパスワードが破られずに、変更したことが原因で変更後のパスワードが破られる可能性があるとすぐ気づいた。 だからパスワードは、頻繁に変更したことはない。 こうして専門家が誤りを認めてるのを見ると、自分の直感が正しかったのがよくわかる。 定期的な変更は無意味どころか害だって昔から思っていたわ。 あれ、日付とかの数字を付けたパスワードにして、数字の所だけ変えている奴がほとんどだろ。 昔と違って今は小文字だけアタックとか簡単な辞書で探索とかしないだろうからな >>164 gigazineとかキズモードの日本語訳記事は 内容捏造したりするから信用できないのが多いね。 あとは宣伝提灯記事。特にキズモードが酷い。 パスワードなんて個人レベルだと破られるよりサービス側から流出することの方が多いからな それ対策としてなら定期的に変更する意味が無いとは言えない 木っ端個人のパスワードなんて流出しても大した価値はない 流出の規模が大きければ大きいほど無用の長物となる クレカは破られたらカード再発行+保険で損害をカバーという考え方なので甘くていいんだよ かつては合ってた。 しかし、解析能力向上により無力化された、ぢゃねえの? ま、今では無意味になったのは事実だが。 >>118 > 普通、総当りなんてできなくね キーロガー仕込まれたら、ワンタイムパスワード以外は全滅っすね。 銀行の4桁なんぞ、後ろに立ってる人いたら、暗記されてもおかしくないレベル。 コンビニATMの監視カメラに写ってるんじゃねーの 指先見えなくても、10パターンx4だから、推測可能だと思うわ、最新のAIで どんな複雑なパスワードも、時間をかければ破られる可能性がある。 それは大文字や特殊文字を混ぜても大差なかったってこと? けっきょく短期間で頻繁にパスワードを変えるしか方法はないの? しかしそれも管理効率が悪い。 >>126 > >>111 > あれ仕組み分からん ややこしい乱数発生器を作る。 乱数発生のシードをネット銀行が保管する。各口座ごとにシードは変える。 口座番号に対応したシードのトークを郵送。 同じシードからは、同じ乱数の数列が出るので、1分に1回とか順次発行していけば、答え合わせが出来る。 トロイ奴がいるから、前後5分くらいはOKにしてると思われ。 >>142 サイト毎に、長い本の名前も覚えるのか、大変だな。 頻繁に変える事を安易なパスの理由にしなければ良いんだが、凡人には難しいんだろうな 俺のパスワードはいつでもどこでもona454519 爺さんばかりの職場とかIDとパスワードが壁にデカデカと貼ってあったりする >>180 一定期間ごとに強制的に変えさせるところがある 過去3回までのは使用不可 ほぼ意味ない ローテーションされるだけ >>166 > 複雑で長いパスワードなら、長期間同じでも破られる可能性は低い。 パスワードの保存形式と認証のやり方によるよ よくあるハッシュ関数を用いる方法だと 1文字のパスワードも100文字のパスワードも 照合に使われるデータの長さは同じ 可能ならIDもサービスごとに変えておけばさらに安心。 >>167 人間そんなもんだよね 挙げ句の果てにはパスワードをディスプレイやキーボードにポストイットで貼ったりもする 実運用的には無理に変えさせない方がまだマシだと思う でも変えさせないシステム監査で引っかかる サイトによってパスワードが十数文字しか登録できなかったりしてて(有名どころでも) なんで長いパスワードを登録出来ないのか疑問なんだけど 長いとサイト運営者には負担がかなり大きくなるのか? 一番ムカつくのは、パスワード登録の時にコピペ禁止、手打ち強制のとこ。 chinkounkomanko これなら覚えやすい 量子コンピュータやDNAコンピュータが開発されれば、 パスワードを使ったセキュリティモデルはどうせ 有効性を失ってしまうんでしょ? 新たなモデルが必要になる。 >>155 同じパスワードでも人によってキー入力のスピードやタイミングに癖が出るんだけど、それを生体認証にしてパスワードが漏れても本人の入力以外は受け付けないとか出来るらしい 疑似乱数というのは予想されるからセキュリティとしては弱い ではどうすれば本当の乱数が得られるか 放射性物質の崩壊の タイミングはその条件を満たすと考えられている ということは ガイガーカウンター等の機器はそうした乱数を得る道具として使える のだ パスワードなんて電話番号の下4桁とか車のナンバーとかそんなのでいいんだよ セキュリティでやるなら4桁とかほとんど無意味なんだし パスフレーズによる長文パスワードこそ最強ってマイクロソフトも言ってたな 記憶の中に留めることが可能ならパスワードの変更も不要、と とりあえず1234567890から始めておけば良いんですね ドトールコーヒーは悪の結社、創価学会の 一員だ 集団ストーカーを行なってる エクセルシオールカフェ赤羽東口店(現在ドトールグループ サンメリー赤羽店)閉店は証拠隠滅 ドトールも創価も法的措置を取らないのは 事実だからです とうきょうときたくあかばねは そうかのまち 「平和があるように」と挨拶しなさい。 (新約聖書『マタイによる福音書』10章12節から) 今頃わかったのか ソーシャルエンジニアリングや総当りは天下無敵だとわかっていたよ 所詮人の内部の知恵 人に解けないはずがない 絶対崩せない暗号だって矛と盾だよ 数学の天才も、量子数学もいずれは解ける 複雑なだけ ウェブ上には見られても困らんものしか放流しない っていう原則を守ればいいだけの話 大文字入れて安心してる奴なんていないだろ パスワード再入力まで時間制限設けるか、 何度か失敗したらロックかければ良いだけちゃうの? >>205 大量のアカウントがロックされて大混乱不可避w 銀行や証券会社ならパスワードに大文字小文字数字記号をすべて使えとか許せるが ストアの会員ページでこれやらせるとかアホかと パスワードハングルのしたらいいですニダ。 世界最高峰の暗号と言われてます。 ただこれは韓国が起源なので、使った場合は謝罪と賠償がもれなく付いてくるお得なサービスです。 passwordを p@ssw0rdにする、みたいな奴は 変換パターンが限られてるしあまり意味ないんじゃないかな、とは思っていた 以前この手のスレで 「日本語OKにすれば解決」 という意見を見た パスワードを解くコンピュータ側からすると アルファベットだけじゃなく 漢字、平仮名、片仮名も入ると 同じ言葉でも桁が違いすぎて 解くのが不可能らしい >>31 文字コードで入力されると仮名漢字関係ない。 >>207 ロックしたらメールからしかアクセスできないようにしてもいいしね >pa$$w0rD こういうのは辞書登録されているpasswordというワードを使っている時点で、 ちょっと小細工して$や0やDを入れた所で比較的簡単に破られてしまうと思う。 特殊記号の数、インド=アラビア数字の数は限られているし、小文字か大文字かの 入れ替えも単純な二分法にすぎる。 元になる文字列も世界のどんな辞書にも載っていないデタラメなものにすべきだが、 そうなると人間の脳が記憶しづらいというパスワード管理上の難点が生じて トレードオフなんだよね。 パスワードに日本語が使えるようにならないのがダメ。 日本語は現存する言語の中ではもっとも複雑な文字体系を持っている。 >>209 日本人は人類の文字そのものの起源を主張してるんだっけ ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる