【IT】パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
パスワードを安全なものにするためには、アルファベットの場合は大文字と小文字を入り交ぜたり、数字や記号を加えたりすることが効果的だと考えられているわけですが、かつてこのルールを提唱していた専門家はいま、「大文字も数字も記号も、意味がなかった」と過去の発言の誤りを認めて後悔していると語っています。
驚きの後悔をWall Street Journalに語ったのは、かつてアメリカ国立標準技術研究所の所長を務め、現在は退任したビル・バー氏です。バー氏は、2003年に発表された安全なパスワードを作るためのガイドラインに携わっていた人物で、その中では「大文字と小文字を併用すること」「数字と記号を混ぜること」「定期的にパスワードを変更すること」という方法が推奨されていました。
ここで推奨されていたのが、例えばパスワードに「password」という言葉を設定していた場合だと、大文字を入れて「paSSworD」とする方法や、記号や数字を入れて「pa$$w0rD」と変化させるというもの。しかし、これらの方法は当時の現状を調査した内容に基づいているものではなく、1980年に書かれた論文の内容をもとにしたものだったため、その信頼性はあまり高くなかった模様。
また、あまり頻繁にパスワードを変更するのも良くないどころか、非効率的で、さらにはハッカーにパスワード変更のパターンを見抜かれてしまう危険すら生じるとのこと。現在72歳というバー氏はWSJに対して「私がしてきたことの多くを、今は後悔しています」と語ったそうです。
これまで推奨されてきた方法は、おそらく誰でも一度は耳にしたことがあるものであり、場合によってはパスワードを作る時に「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることもあるほど。本人自らが否定してしまった「パスワードの作り方」ですが、これとは別に推奨されているのが、複数の単語をつなげて一つの文字列にする、というもの。例えば「I want to go out and eat some ramen」(外に出かけてラーメンを食べたい)という文章をギュッと圧縮して「iwanttogooutandeatsomeramen」というふうにすれば、効率よく、しかも忘れにくい長文のパスワードを作ることができる、とのことです。
しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、別の対策を併用することも重要といえます。
http://gigazine.net/news/20170810-password/ 定期的な変更は無意味どころか害だって昔から思っていたわ。
あれ、日付とかの数字を付けたパスワードにして、数字の所だけ変えている奴がほとんどだろ。 昔と違って今は小文字だけアタックとか簡単な辞書で探索とかしないだろうからな >>164
gigazineとかキズモードの日本語訳記事は
内容捏造したりするから信用できないのが多いね。
あとは宣伝提灯記事。特にキズモードが酷い。 パスワードなんて個人レベルだと破られるよりサービス側から流出することの方が多いからな
それ対策としてなら定期的に変更する意味が無いとは言えない 木っ端個人のパスワードなんて流出しても大した価値はない
流出の規模が大きければ大きいほど無用の長物となる クレカは破られたらカード再発行+保険で損害をカバーという考え方なので甘くていいんだよ かつては合ってた。
しかし、解析能力向上により無力化された、ぢゃねえの?
ま、今では無意味になったのは事実だが。 >>118
> 普通、総当りなんてできなくね
キーロガー仕込まれたら、ワンタイムパスワード以外は全滅っすね。
銀行の4桁なんぞ、後ろに立ってる人いたら、暗記されてもおかしくないレベル。
コンビニATMの監視カメラに写ってるんじゃねーの
指先見えなくても、10パターンx4だから、推測可能だと思うわ、最新のAIで どんな複雑なパスワードも、時間をかければ破られる可能性がある。
それは大文字や特殊文字を混ぜても大差なかったってこと?
けっきょく短期間で頻繁にパスワードを変えるしか方法はないの?
しかしそれも管理効率が悪い。 >>126
> >>111
> あれ仕組み分からん
ややこしい乱数発生器を作る。
乱数発生のシードをネット銀行が保管する。各口座ごとにシードは変える。
口座番号に対応したシードのトークを郵送。
同じシードからは、同じ乱数の数列が出るので、1分に1回とか順次発行していけば、答え合わせが出来る。
トロイ奴がいるから、前後5分くらいはOKにしてると思われ。 >>142
サイト毎に、長い本の名前も覚えるのか、大変だな。 頻繁に変える事を安易なパスの理由にしなければ良いんだが、凡人には難しいんだろうな 俺のパスワードはいつでもどこでもona454519 爺さんばかりの職場とかIDとパスワードが壁にデカデカと貼ってあったりする >>180
一定期間ごとに強制的に変えさせるところがある
過去3回までのは使用不可
ほぼ意味ない
ローテーションされるだけ >>166
> 複雑で長いパスワードなら、長期間同じでも破られる可能性は低い。
パスワードの保存形式と認証のやり方によるよ
よくあるハッシュ関数を用いる方法だと
1文字のパスワードも100文字のパスワードも
照合に使われるデータの長さは同じ 可能ならIDもサービスごとに変えておけばさらに安心。 >>167
人間そんなもんだよね
挙げ句の果てにはパスワードをディスプレイやキーボードにポストイットで貼ったりもする
実運用的には無理に変えさせない方がまだマシだと思う
でも変えさせないシステム監査で引っかかる サイトによってパスワードが十数文字しか登録できなかったりしてて(有名どころでも)
なんで長いパスワードを登録出来ないのか疑問なんだけど
長いとサイト運営者には負担がかなり大きくなるのか? 一番ムカつくのは、パスワード登録の時にコピペ禁止、手打ち強制のとこ。 chinkounkomanko
これなら覚えやすい 量子コンピュータやDNAコンピュータが開発されれば、
パスワードを使ったセキュリティモデルはどうせ
有効性を失ってしまうんでしょ?
新たなモデルが必要になる。 >>155
同じパスワードでも人によってキー入力のスピードやタイミングに癖が出るんだけど、それを生体認証にしてパスワードが漏れても本人の入力以外は受け付けないとか出来るらしい 疑似乱数というのは予想されるからセキュリティとしては弱い
ではどうすれば本当の乱数が得られるか 放射性物質の崩壊の
タイミングはその条件を満たすと考えられている ということは
ガイガーカウンター等の機器はそうした乱数を得る道具として使える
のだ パスワードなんて電話番号の下4桁とか車のナンバーとかそんなのでいいんだよ
セキュリティでやるなら4桁とかほとんど無意味なんだし パスフレーズによる長文パスワードこそ最強ってマイクロソフトも言ってたな
記憶の中に留めることが可能ならパスワードの変更も不要、と とりあえず1234567890から始めておけば良いんですね ドトールコーヒーは悪の結社、創価学会の
一員だ
集団ストーカーを行なってる
エクセルシオールカフェ赤羽東口店(現在ドトールグループ サンメリー赤羽店)閉店は証拠隠滅
ドトールも創価も法的措置を取らないのは
事実だからです
とうきょうときたくあかばねは
そうかのまち
「平和があるように」と挨拶しなさい。
(新約聖書『マタイによる福音書』10章12節から) 今頃わかったのか
ソーシャルエンジニアリングや総当りは天下無敵だとわかっていたよ
所詮人の内部の知恵
人に解けないはずがない
絶対崩せない暗号だって矛と盾だよ
数学の天才も、量子数学もいずれは解ける
複雑なだけ ウェブ上には見られても困らんものしか放流しない
っていう原則を守ればいいだけの話
大文字入れて安心してる奴なんていないだろ パスワード再入力まで時間制限設けるか、
何度か失敗したらロックかければ良いだけちゃうの? >>205
大量のアカウントがロックされて大混乱不可避w 銀行や証券会社ならパスワードに大文字小文字数字記号をすべて使えとか許せるが
ストアの会員ページでこれやらせるとかアホかと パスワードハングルのしたらいいですニダ。
世界最高峰の暗号と言われてます。
ただこれは韓国が起源なので、使った場合は謝罪と賠償がもれなく付いてくるお得なサービスです。 passwordを
p@ssw0rdにする、みたいな奴は
変換パターンが限られてるしあまり意味ないんじゃないかな、とは思っていた 以前この手のスレで
「日本語OKにすれば解決」
という意見を見た
パスワードを解くコンピュータ側からすると
アルファベットだけじゃなく
漢字、平仮名、片仮名も入ると
同じ言葉でも桁が違いすぎて
解くのが不可能らしい >>31
文字コードで入力されると仮名漢字関係ない。 >>207
ロックしたらメールからしかアクセスできないようにしてもいいしね >pa$$w0rD
こういうのは辞書登録されているpasswordというワードを使っている時点で、
ちょっと小細工して$や0やDを入れた所で比較的簡単に破られてしまうと思う。
特殊記号の数、インド=アラビア数字の数は限られているし、小文字か大文字かの
入れ替えも単純な二分法にすぎる。
元になる文字列も世界のどんな辞書にも載っていないデタラメなものにすべきだが、
そうなると人間の脳が記憶しづらいというパスワード管理上の難点が生じて
トレードオフなんだよね。 パスワードに日本語が使えるようにならないのがダメ。
日本語は現存する言語の中ではもっとも複雑な文字体系を持っている。 >>209
日本人は人類の文字そのものの起源を主張してるんだっけ あらゆるパスワードは全部Evernoteに記入してクラウドで管理してる
セキュリティ上どうこう言われるかもしれんが、
そうじゃないともう管理できない >>220
Evernoteがいいかどうかは判らんが多くのアカウントを持っているなら使い勝手のいいパスワードマネジャーを使い、パスワードデータはAESなどで暗号化しておくのがいい
コピペやパスワードマネジャーを排除するようなサイトはセキュリティ的には有害だよね いい加減、生体認証に移行しろよ。
いくらパスワード使っても、解析ツールで破られるのがオチなんだから。 >>222
生体認証は指紋なら型を取れる、虹彩なら写真で突破できるなど問題がないわけじゃない
盗まれたら両手と眼球移植するか?
それだけ重要性が高いなら複数要素で認証するしかない >>222
それで解析ツールで解析できるのがわかっていても解析するのに何百年、何千年かかるなら実質的に問題ない。
そうするにはパスワードを長くする(パスフレーズ)のが効果があるという話
10年ぐらいの間なら単語4つも組み合われは充分。ランダムな単語5つなら殆ど解読不能と言っていい。
クラウドで何千台を並列して解読しても100年ぐらいでは無理。量子コンピュータがカジュアルに使えるようになったら考える必要はあるが 総当たりで解析するにしても、常に一番最後の組み合わせが正解とは限らないので、解析に
理論上○○年かかるといった話は無意味。
一方で、パスワードの文字数に関係なくハッシュで保存しているから、短いパスワードと
長いパスワードも安全性は同じというのも間違い。 様々な所で使う長いパスワードを覚えきれなくなって
本末転倒になるケースばっかり・・・・・
どれだけの労力が失われたことか パスワードを共通にするのが一番危険でしょ
と言う事でパスワード管理ソフトが無いとどこにもログインできない状態に パスワードなんかなくてもいいんだよ
誰が入ったのかさえわかればいいの
自分のPCのナンバーを正しく書かないと
どこにも入り込めなくすればいいだけ
自分のマシンが承認すればいいの その前に、クラッカーを捕まえて裁判して社会復帰を絶てよ >>225
こういう場合に「常に一番最後の組み合わせが正解」なんて狂った前提をする奴がいるとは思わなかった
通常は平均時間を使う。つまり正解が見つかる可能性が50%になるまでの時間を使う。この場合は線形検索
になるから1/2の時間となるがこれでは不十分に感じる人も多いだろう。
厳密な議論をしてもわかりにくいので以下の話に代えさせてもらう。
1単語11bit相当とした例に従い5単語を使ったパスフレーズを使用した場合総当たりの全組み合わせは2^55
=36028797018963968(3京6028兆)つまり最初の1回で当たる確率は1/3京6000兆程度
1億回の試行を繰り返しても当たる確率は3600万分の1で宝くじの1等よりも確率は低い。
つまり十分に広い組み合わせの空間を用意してやれば力技での探索は難しくなる >>225
単語の組み合わせなんて使うのは、馬鹿の極み。 おまえ、プログラム書いたこと
のないだろ。 平均だろうが、結局のところ単なる机上の確率論でしかない。
まぁ普通は、Websサービスなんかで総当たりアクセスなんてすると、クラック行為とみな
してアカウント無効化などの処理を行うが、パスワードハッシュが漏れるなどしてしかも
暗号化が既知である場合、オフラインで無制限にリトライできる。 >>233
崩しすぎて人間にも判別不能なのあるよな >>2
俺は10年ぐらい無視してたら口座凍結されたわw再開手続きをしないと使えませんと
パスワードを変更してくださいの封筒が5回ぐらい届いた
現在のシステムを廃止するから新しい物に登録してください無視
システム変更手続きの書類も無視
口座止まる SHA1-RSAとか秘密鍵ハッシュ署名方式ですら総当たり攻撃に弱いってこと? なんか昔イーバンクバンク銀行だっけ?
口座番号の総当たりブルートフォース受けて
大量のアカウントロック掛けられて
客が阿鼻叫喚やったことなかった?
で、その対策が、全然違うパスワードならノーカウント
惜しい間違い3カウントで口座ロックだったかと
それはそれで、皆して総(゜o゜)\(-_-)突っ込みウケてた 寿限無とか般若心経なら破られんだろ
打つのが大変だけど >>241
じゅげむ や はんにゃたらみじ でた時点で先が想像できちゃうやんけ >>242
パスワード総当たりに最初の数文字だけ正解という判定は無いだろ
全くの間違いか正解かのどっちか 安全なパスワードは、
パスワード登録してから、一度も パスワード変更していないパスワードを使い続ける事だ
っと、パスワードの専門家が、数か月前に 言ってたな。 >>3
たな
アルファベット26 + 数字10文字で36パターンだったら
1日ごとに10文字のパスワードを使うより1ヶ月ごとに11文字のパスワードを使う方が破られにくい こいつのせいで世界的にどれだけの経済損失を被ったんだろな
金額にするととんでもないことになるだろ >>45
unix文化だと閉じたNW上のサーバはみんなadm/admとか? 結局のところ、同じパスワードを使いまわすのが駄目なだけ
若干でも変化をかければいい
とはいえ文字数制限がキツいところはどうにかならんかね・・・ 結局、どんなPWを使っても単純な確率と使用者に関する知識の問題。
従って、重要なアカウントの保護には2段階認証等、他の方法を採用しろって事だな >>242
「球児好児の右好児」みたいに途中でちょっと間違っておくと
予想が外れて、あれっ?あれっ?
という効果が出るのではないか >>1
パスワードには必ず「ラーメン」を入れるのか。 メモメモ UTF-8の3バイト文字を受け付けるだけでだいぶ難読性上がりそう つかユーザー側からしたら、100文字とか200文字とか長いパスワードを登録できるようにしてもらいたくね?
そうすれば破られる可能性が大分下がるだろ? なんでサイト側はやらないんだ? >>255
復活の呪文で泣いた奴が何人いたと思ってるんだよ w
って言うのがわかる奴はどれぐらいいるんだろう... >>255
辞書攻撃の代わりに歴史的名言や有名な言い回しが攻撃対象になるだけ
あと文字数が多いとタイプミスの確率が多くなり正しいユーザーが弾かれやすくなる
それにユーザーも100文字入力するのは手間だろ 放 射 能 に 感 謝 の 気 持 ち を 送 り ま す
「私は放射能に感謝の気持ちを送ります。ありがとう・・・」 安倍昭恵
https://twitter.com/HON5437/status/882117283757178880
練習後走り倒れた女子マネジャー死亡 新潟の高校野球部
http://www.asahi.com/articles/ASK8656TGK86UOHB00S.html
帰宅した長男(8)が発見。東京、墨田区30代の女性の突然死。
https://twitter.com/onodekita/status/857915526609117185
漫画家の訃報 昨年までは7名前後、今年はなんと20名以上亡くなっている
https://twitter.com/東海アマ/status/856617404234846208
第16回日本心不全学会学術集会
「心不全パンデミック」大震災における心不全の増加はこれまで報告がない。
『チェルノブイリの祈り』
たくさんの人があっけなく死んでいく ベンチに座ったまま バスを待ちながら
説明のつかない死が多かった 多くの人が脳卒中や心筋梗塞を起こした 駅やバスの中で
小泉義仁(51) 、駅で脳梗塞。 ス ピ リ チ ュ ア ル T V
森岡賢(49)、、心不全。 元 ソ フ ト バ レ エ
飯野賢治(42) 、心不全。 D の 食 卓
今井洋介 (31) 、心筋梗塞。 テ ラ ス ハ ウ ス
木村唯(18)、右足切断、筋肉腫。 花 や し き 少 女 歌 劇 団 バーク送りの商人に般若の面を装備させても
大王イカに殺される >>258
100文字は無駄かも知らんけど40文字(単語にして4〜5)の他人にとっては無関係に見える単語列で十分だという話をしているのが>>1
ありがちな手としては聖書○ページの○行目から縦読み(で当たる単語)とか
○ページから○ページの先頭の単語とか あと
大文字小文字、記号の切り替えは手間なので排除できるのもメリットだとか書いてあったな 関係ないけどそのページのカタカナだけ拾い読みすると放送禁止用語になる小説とか小松左京ほか数名が書いていた ■ このスレッドは過去ログ倉庫に格納されています