【IT】パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
パスワードを安全なものにするためには、アルファベットの場合は大文字と小文字を入り交ぜたり、数字や記号を加えたりすることが効果的だと考えられているわけですが、かつてこのルールを提唱していた専門家はいま、「大文字も数字も記号も、意味がなかった」と過去の発言の誤りを認めて後悔していると語っています。
驚きの後悔をWall Street Journalに語ったのは、かつてアメリカ国立標準技術研究所の所長を務め、現在は退任したビル・バー氏です。バー氏は、2003年に発表された安全なパスワードを作るためのガイドラインに携わっていた人物で、その中では「大文字と小文字を併用すること」「数字と記号を混ぜること」「定期的にパスワードを変更すること」という方法が推奨されていました。
ここで推奨されていたのが、例えばパスワードに「password」という言葉を設定していた場合だと、大文字を入れて「paSSworD」とする方法や、記号や数字を入れて「pa$$w0rD」と変化させるというもの。しかし、これらの方法は当時の現状を調査した内容に基づいているものではなく、1980年に書かれた論文の内容をもとにしたものだったため、その信頼性はあまり高くなかった模様。
また、あまり頻繁にパスワードを変更するのも良くないどころか、非効率的で、さらにはハッカーにパスワード変更のパターンを見抜かれてしまう危険すら生じるとのこと。現在72歳というバー氏はWSJに対して「私がしてきたことの多くを、今は後悔しています」と語ったそうです。
これまで推奨されてきた方法は、おそらく誰でも一度は耳にしたことがあるものであり、場合によってはパスワードを作る時に「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることもあるほど。本人自らが否定してしまった「パスワードの作り方」ですが、これとは別に推奨されているのが、複数の単語をつなげて一つの文字列にする、というもの。例えば「I want to go out and eat some ramen」(外に出かけてラーメンを食べたい)という文章をギュッと圧縮して「iwanttogooutandeatsomeramen」というふうにすれば、効率よく、しかも忘れにくい長文のパスワードを作ることができる、とのことです。
しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、別の対策を併用することも重要といえます。
http://gigazine.net/news/20170810-password/ 銀行や証券会社ならパスワードに大文字小文字数字記号をすべて使えとか許せるが
ストアの会員ページでこれやらせるとかアホかと パスワードハングルのしたらいいですニダ。
世界最高峰の暗号と言われてます。
ただこれは韓国が起源なので、使った場合は謝罪と賠償がもれなく付いてくるお得なサービスです。 passwordを
p@ssw0rdにする、みたいな奴は
変換パターンが限られてるしあまり意味ないんじゃないかな、とは思っていた 以前この手のスレで
「日本語OKにすれば解決」
という意見を見た
パスワードを解くコンピュータ側からすると
アルファベットだけじゃなく
漢字、平仮名、片仮名も入ると
同じ言葉でも桁が違いすぎて
解くのが不可能らしい >>31
文字コードで入力されると仮名漢字関係ない。 >>207
ロックしたらメールからしかアクセスできないようにしてもいいしね >pa$$w0rD
こういうのは辞書登録されているpasswordというワードを使っている時点で、
ちょっと小細工して$や0やDを入れた所で比較的簡単に破られてしまうと思う。
特殊記号の数、インド=アラビア数字の数は限られているし、小文字か大文字かの
入れ替えも単純な二分法にすぎる。
元になる文字列も世界のどんな辞書にも載っていないデタラメなものにすべきだが、
そうなると人間の脳が記憶しづらいというパスワード管理上の難点が生じて
トレードオフなんだよね。 パスワードに日本語が使えるようにならないのがダメ。
日本語は現存する言語の中ではもっとも複雑な文字体系を持っている。 >>209
日本人は人類の文字そのものの起源を主張してるんだっけ あらゆるパスワードは全部Evernoteに記入してクラウドで管理してる
セキュリティ上どうこう言われるかもしれんが、
そうじゃないともう管理できない >>220
Evernoteがいいかどうかは判らんが多くのアカウントを持っているなら使い勝手のいいパスワードマネジャーを使い、パスワードデータはAESなどで暗号化しておくのがいい
コピペやパスワードマネジャーを排除するようなサイトはセキュリティ的には有害だよね いい加減、生体認証に移行しろよ。
いくらパスワード使っても、解析ツールで破られるのがオチなんだから。 >>222
生体認証は指紋なら型を取れる、虹彩なら写真で突破できるなど問題がないわけじゃない
盗まれたら両手と眼球移植するか?
それだけ重要性が高いなら複数要素で認証するしかない >>222
それで解析ツールで解析できるのがわかっていても解析するのに何百年、何千年かかるなら実質的に問題ない。
そうするにはパスワードを長くする(パスフレーズ)のが効果があるという話
10年ぐらいの間なら単語4つも組み合われは充分。ランダムな単語5つなら殆ど解読不能と言っていい。
クラウドで何千台を並列して解読しても100年ぐらいでは無理。量子コンピュータがカジュアルに使えるようになったら考える必要はあるが 総当たりで解析するにしても、常に一番最後の組み合わせが正解とは限らないので、解析に
理論上○○年かかるといった話は無意味。
一方で、パスワードの文字数に関係なくハッシュで保存しているから、短いパスワードと
長いパスワードも安全性は同じというのも間違い。 様々な所で使う長いパスワードを覚えきれなくなって
本末転倒になるケースばっかり・・・・・
どれだけの労力が失われたことか パスワードを共通にするのが一番危険でしょ
と言う事でパスワード管理ソフトが無いとどこにもログインできない状態に パスワードなんかなくてもいいんだよ
誰が入ったのかさえわかればいいの
自分のPCのナンバーを正しく書かないと
どこにも入り込めなくすればいいだけ
自分のマシンが承認すればいいの その前に、クラッカーを捕まえて裁判して社会復帰を絶てよ >>225
こういう場合に「常に一番最後の組み合わせが正解」なんて狂った前提をする奴がいるとは思わなかった
通常は平均時間を使う。つまり正解が見つかる可能性が50%になるまでの時間を使う。この場合は線形検索
になるから1/2の時間となるがこれでは不十分に感じる人も多いだろう。
厳密な議論をしてもわかりにくいので以下の話に代えさせてもらう。
1単語11bit相当とした例に従い5単語を使ったパスフレーズを使用した場合総当たりの全組み合わせは2^55
=36028797018963968(3京6028兆)つまり最初の1回で当たる確率は1/3京6000兆程度
1億回の試行を繰り返しても当たる確率は3600万分の1で宝くじの1等よりも確率は低い。
つまり十分に広い組み合わせの空間を用意してやれば力技での探索は難しくなる >>225
単語の組み合わせなんて使うのは、馬鹿の極み。 おまえ、プログラム書いたこと
のないだろ。 平均だろうが、結局のところ単なる机上の確率論でしかない。
まぁ普通は、Websサービスなんかで総当たりアクセスなんてすると、クラック行為とみな
してアカウント無効化などの処理を行うが、パスワードハッシュが漏れるなどしてしかも
暗号化が既知である場合、オフラインで無制限にリトライできる。 >>233
崩しすぎて人間にも判別不能なのあるよな >>2
俺は10年ぐらい無視してたら口座凍結されたわw再開手続きをしないと使えませんと
パスワードを変更してくださいの封筒が5回ぐらい届いた
現在のシステムを廃止するから新しい物に登録してください無視
システム変更手続きの書類も無視
口座止まる SHA1-RSAとか秘密鍵ハッシュ署名方式ですら総当たり攻撃に弱いってこと? なんか昔イーバンクバンク銀行だっけ?
口座番号の総当たりブルートフォース受けて
大量のアカウントロック掛けられて
客が阿鼻叫喚やったことなかった?
で、その対策が、全然違うパスワードならノーカウント
惜しい間違い3カウントで口座ロックだったかと
それはそれで、皆して総(゜o゜)\(-_-)突っ込みウケてた 寿限無とか般若心経なら破られんだろ
打つのが大変だけど >>241
じゅげむ や はんにゃたらみじ でた時点で先が想像できちゃうやんけ >>242
パスワード総当たりに最初の数文字だけ正解という判定は無いだろ
全くの間違いか正解かのどっちか 安全なパスワードは、
パスワード登録してから、一度も パスワード変更していないパスワードを使い続ける事だ
っと、パスワードの専門家が、数か月前に 言ってたな。 >>3
たな
アルファベット26 + 数字10文字で36パターンだったら
1日ごとに10文字のパスワードを使うより1ヶ月ごとに11文字のパスワードを使う方が破られにくい こいつのせいで世界的にどれだけの経済損失を被ったんだろな
金額にするととんでもないことになるだろ >>45
unix文化だと閉じたNW上のサーバはみんなadm/admとか? 結局のところ、同じパスワードを使いまわすのが駄目なだけ
若干でも変化をかければいい
とはいえ文字数制限がキツいところはどうにかならんかね・・・ 結局、どんなPWを使っても単純な確率と使用者に関する知識の問題。
従って、重要なアカウントの保護には2段階認証等、他の方法を採用しろって事だな >>242
「球児好児の右好児」みたいに途中でちょっと間違っておくと
予想が外れて、あれっ?あれっ?
という効果が出るのではないか >>1
パスワードには必ず「ラーメン」を入れるのか。 メモメモ UTF-8の3バイト文字を受け付けるだけでだいぶ難読性上がりそう つかユーザー側からしたら、100文字とか200文字とか長いパスワードを登録できるようにしてもらいたくね?
そうすれば破られる可能性が大分下がるだろ? なんでサイト側はやらないんだ? >>255
復活の呪文で泣いた奴が何人いたと思ってるんだよ w
って言うのがわかる奴はどれぐらいいるんだろう... >>255
辞書攻撃の代わりに歴史的名言や有名な言い回しが攻撃対象になるだけ
あと文字数が多いとタイプミスの確率が多くなり正しいユーザーが弾かれやすくなる
それにユーザーも100文字入力するのは手間だろ 放 射 能 に 感 謝 の 気 持 ち を 送 り ま す
「私は放射能に感謝の気持ちを送ります。ありがとう・・・」 安倍昭恵
https://twitter.com/HON5437/status/882117283757178880
練習後走り倒れた女子マネジャー死亡 新潟の高校野球部
http://www.asahi.com/articles/ASK8656TGK86UOHB00S.html
帰宅した長男(8)が発見。東京、墨田区30代の女性の突然死。
https://twitter.com/onodekita/status/857915526609117185
漫画家の訃報 昨年までは7名前後、今年はなんと20名以上亡くなっている
https://twitter.com/東海アマ/status/856617404234846208
第16回日本心不全学会学術集会
「心不全パンデミック」大震災における心不全の増加はこれまで報告がない。
『チェルノブイリの祈り』
たくさんの人があっけなく死んでいく ベンチに座ったまま バスを待ちながら
説明のつかない死が多かった 多くの人が脳卒中や心筋梗塞を起こした 駅やバスの中で
小泉義仁(51) 、駅で脳梗塞。 ス ピ リ チ ュ ア ル T V
森岡賢(49)、、心不全。 元 ソ フ ト バ レ エ
飯野賢治(42) 、心不全。 D の 食 卓
今井洋介 (31) 、心筋梗塞。 テ ラ ス ハ ウ ス
木村唯(18)、右足切断、筋肉腫。 花 や し き 少 女 歌 劇 団 バーク送りの商人に般若の面を装備させても
大王イカに殺される >>258
100文字は無駄かも知らんけど40文字(単語にして4〜5)の他人にとっては無関係に見える単語列で十分だという話をしているのが>>1
ありがちな手としては聖書○ページの○行目から縦読み(で当たる単語)とか
○ページから○ページの先頭の単語とか あと
大文字小文字、記号の切り替えは手間なので排除できるのもメリットだとか書いてあったな 関係ないけどそのページのカタカナだけ拾い読みすると放送禁止用語になる小説とか小松左京ほか数名が書いていた アメリカTVドラマではどんな暗号でも解析ソフトにかけられてすぐ暗号解読できたりする
あるいは天才ハッカーがあちこちにいたりする 自 分 の 手 は 汚 さ な い ん で し ょ ?
上原多香子の『グータンヌーボ』での発言
優香 どうやって別れるの?
上原 私、あまり・・・言わせちゃうかもしれない
小池 え・・・
優香 向こうから?
上原 あんまり、そういう言葉を切り出すのができないから
小池 追い込むんだ? 自分の手は汚さないんでしょ?
上原 ズルいって言われた事があるかも
小池 凄くない・・・?
【閲覧注意】上原多香子の不倫事件、実は凄い真相が隠されていたのでは・・・
https://www.youtube.com/watch?v=idErOfCwAIQ >>264
>ありがちな手としては聖書○ページの○行目から縦読み(で当たる単語)とか
○ページから○ページの先頭の単語とか
これをやめろと言ってるの
こんな誰でも思い付くもの簡単に予測されるわ
上記の方法にプラスしてアルファベット一文字二文字ずらす方法も同様
お前さんが40文字のパスワードのパターンを10^20個考えろと言われたら間違いなく考え付くだろ
余裕で突破される >>270
> お前さんが40文字のパスワードのパターンを10^20個考えろと言われたら間違いなく考え付くだろ
> 余裕で突破される
え?本気でそんなこと言ってんの?
もしそうならプログラミングはまあいいとして設計は任せられないからそっち方面の仕事はしないほうがいい
何で10^20なのか知らんけど6単語というところだな。この仮定でいいか
1回の試行がまあ高性能のシステムつかっているとして0.1μSで照合できるとする
平均5×10^12秒程度で確かに当たるよ
15万8000年ぐらいだけどな
32万年かけるか100万台規模のクラスタ使えば余裕かもしらんな。それがコストに見合うなら
ああ、出版社違えば版組変わるから同じ聖書でも同じにならない。それでも気になるなら自分の書いた卒論の英文アブストラクトでも使えばいい 日本語の他に、ヘブライ語、タイ語、アラビア語みたいな解読が難解な文字もOKにすればいい バイクの名前とかだと
記号(ハイフン)と数字が入っていい感じ
YZF-R1とか >>1
タイトルが悪い
一般的に大文字や記号を入れることは意味ある
辞書攻撃でやられてしまうようなパスワードの一部を大文字や類似形の記号に入れ替えても意味ないだけ
そういうのはlibcrackの走査対象 >>271
アホだな
パターンごとの期待値は均一ではなく
パスワードに使われやすいパターンがあるってのが問題なの
そのために既存のパターンと既存パターンを単純な変換で求めたパターンは大した数じゃない
あと君は思いつかないようだが世界にコンピュータは一台ではないしサーバーも一台ではない、もちろんパスワードを求めるサイトも一つではない
そのため実際にクラックする場合は数百万台のPCを乗っ取り並列して行うことになるため君の計算は的外れもいいとこ >>278
認証?
攻撃のこと?
パスワードが6文字しかなけりゃ
全ビットパターンを一日かからず総当りできるぞ >>279
3回ぐらいでロックかかるんじゃないの?回避出来るならロック機能て意味なしだね。 連続10回間違えたら12時間ぐらいログオン禁止にすればいい。 パスワードとか、もう時代遅れ。
これからはWindowsHelloで顔認証の時代。
WindowsHelloで認証されれば、そのままActiveDirectory
にもサインアップ。
ADサーバーから、この人は認証済みですの証明書が発行
されるので、どこのサイトもパスワードなしで入れるようになる。
早くそうなるべき。 >>283夏期休暇の後出社したらログイン出来なくなってたりして >>283
写真で認証される
>>284
さすがにそれはひど過ぎ
今どきの賢い顔認証は眼鏡ぐらいなら何とかする
サングラスにマスクしたらダメかもだけどそれ何のため? >>277
>パスワードに使われやすいパターンがあるってのが問題なの
>そのために既存のパターンと既存パターンを単純な変換で求めたパターンは大した数じゃない
せめて>>1と元の記事
https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118
は読もうよ。全然読んでないのバレバレじゃん。こっちが要点の開設だから見たほうがいいよ
https://xkcd.com/936/
>あと君は思いつかないようだが世界にコンピュータは一台ではないしサーバーも一台ではない、
>もちろんパスワードを求めるサイトも一つではない
こんな今どき小学生でも知っていることを言ってドヤってもねぇ
私はこれ↓にも参加してたよ。1999年かぁ前世紀の話だよこれ
http://www.distributed.net/DES/ja
まあ、もうちょっと勉強したほうがいいかもしれないね。それより性格直したほうがいいか >>288
申し訳ないが>>277は>>1を踏まえた話じゃないんだ
読めば分かると思うけど
>こんな今どき小学生でも知っていることを言ってドヤってもねぇ
知らないの君であって私ではない >>291
今どきこんな天然ものがいるんだ
いいものを見せてもらったわw ■ このスレッドは過去ログ倉庫に格納されています
