【IT】パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める [無断転載禁止]©2ch.net

**ノチラ ★** · 2017/08/11(金) 17:32:45.83

パスワードを安全なものにするためには、アルファベットの場合は大文字と小文字を入り交ぜたり、数字や記号を加えたりすることが効果的だと考えられているわけですが、かつてこのルールを提唱していた専門家はいま、「大文字も数字も記号も、意味がなかった」と過去の発言の誤りを認めて後悔していると語っています。

驚きの後悔をWall Street Journalに語ったのは、かつてアメリカ国立標準技術研究所の所長を務め、現在は退任したビル・バー氏です。バー氏は、2003年に発表された安全なパスワードを作るためのガイドラインに携わっていた人物で、その中では「大文字と小文字を併用すること」「数字と記号を混ぜること」「定期的にパスワードを変更すること」という方法が推奨されていました。

ここで推奨されていたのが、例えばパスワードに「password」という言葉を設定していた場合だと、大文字を入れて「paSSworD」とする方法や、記号や数字を入れて「pa$$w0rD」と変化させるというもの。しかし、これらの方法は当時の現状を調査した内容に基づいているものではなく、1980年に書かれた論文の内容をもとにしたものだったため、その信頼性はあまり高くなかった模様。

また、あまり頻繁にパスワードを変更するのも良くないどころか、非効率的で、さらにはハッカーにパスワード変更のパターンを見抜かれてしまう危険すら生じるとのこと。現在72歳というバー氏はWSJに対して「私がしてきたことの多くを、今は後悔しています」と語ったそうです。

これまで推奨されてきた方法は、おそらく誰でも一度は耳にしたことがあるものであり、場合によってはパスワードを作る時に「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることもあるほど。本人自らが否定してしまった「パスワードの作り方」ですが、これとは別に推奨されているのが、複数の単語をつなげて一つの文字列にする、というもの。例えば「I want to go out and eat some ramen」(外に出かけてラーメンを食べたい)という文章をギュッと圧縮して「iwanttogooutandeatsomeramen」というふうにすれば、効率よく、しかも忘れにくい長文のパスワードを作ることができる、とのことです。

しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、別の対策を併用することも重要といえます。
http://gigazine.net/news/20170810-password/

**名刺は切らしておりまして** · 2017/08/15(火) 01:22:52.47

>>242
パスワード総当たりに最初の数文字だけ正解という判定は無いだろ
全くの間違いか正解かのどっちか

**名刺は切らしておりまして** · 2017/08/15(火) 01:30:02.85

安全なパスワードは、
パスワード登録してから、一度も　パスワード変更していないパスワードを使い続ける事だ

っと、パスワードの専門家が、数か月前に　言ってたな。

**名刺は切らしておりまして** · 2017/08/15(火) 01:38:08.85

>>3
たな
アルファベット26 + 数字10文字で36パターンだったら
1日ごとに10文字のパスワードを使うより1ヶ月ごとに11文字のパスワードを使う方が破られにくい

**名刺は切らしておりまして** · 2017/08/15(火) 01:39:09.53

こいつのせいで世界的にどれだけの経済損失を被ったんだろな
金額にするととんでもないことになるだろ

**名刺は切らしておりまして** · 2017/08/15(火) 01:53:01.45

解析をPCでやれば、そりゃあっという間だろ

**名刺は切らしておりまして** · 2017/08/15(火) 02:08:43.43

>>45
unix文化だと閉じたNW上のサーバはみんなadm/admとか？

**名刺は切らしておりまして** · 2017/08/15(火) 06:30:44.89

結局のところ、同じパスワードを使いまわすのが駄目なだけ
若干でも変化をかければいい
とはいえ文字数制限がキツいところはどうにかならんかね・・・

**名刺は切らしておりまして** · 2017/08/15(火) 07:22:37.68

>>240
ログイン先を入れたDAI語が最強

**名刺は切らしておりまして** · 2017/08/15(火) 08:26:06.02

結局、どんなPWを使っても単純な確率と使用者に関する知識の問題。
従って、重要なアカウントの保護には２段階認証等、他の方法を採用しろって事だな

**名刺は切らしておりまして** · 2017/08/15(火) 08:41:49.35

>>242
「球児好児の右好児」みたいに途中でちょっと間違っておくと
予想が外れて、あれっ？あれっ？
という効果が出るのではないか

**名刺は切らしておりまして** · 2017/08/15(火) 08:47:04.49

>>1
パスワードには必ず「ラーメン」を入れるのか。　メモメモ

**名刺は切らしておりまして** · 2017/08/15(火) 12:11:36.47

UTF-8の3バイト文字を受け付けるだけでだいぶ難読性上がりそう

**名刺は切らしておりまして** · 2017/08/15(火) 15:35:08.72

つかユーザー側からしたら、１００文字とか２００文字とか長いパスワードを登録できるようにしてもらいたくね？

そうすれば破られる可能性が大分下がるだろ？　なんでサイト側はやらないんだ？

**名刺は切らしておりまして** · 2017/08/15(火) 16:22:21.02

>>255
そんな長いの、入力がツラい

**名刺は切らしておりまして** · 2017/08/15(火) 18:11:26.82

>>255
復活の呪文で泣いた奴が何人いたと思ってるんだよ w

って言うのがわかる奴はどれぐらいいるんだろう...

**名刺は切らしておりまして** · 2017/08/15(火) 20:14:20.67

>>255
辞書攻撃の代わりに歴史的名言や有名な言い回しが攻撃対象になるだけ
あと文字数が多いとタイプミスの確率が多くなり正しいユーザーが弾かれやすくなる
それにユーザーも100文字入力するのは手間だろ

**名刺は切らしておりまして** · 2017/08/15(火) 20:51:19.13

　　　　　放　射　能　に　感　謝　の　気　持　ち　を　送　り　ま　す

「私は放射能に感謝の気持ちを送ります。ありがとう・・・」　　　　　　安倍昭恵
https://twitter.com/HON5437/status/882117283757178880

練習後走り倒れた女子マネジャー死亡　新潟の高校野球部
http://www.asahi.com/articles/ASK8656TGK86UOHB00S.html

帰宅した長男（８）が発見。東京、墨田区30代の女性の突然死。
https://twitter.com/onodekita/status/857915526609117185

漫画家の訃報　昨年までは7名前後、今年はなんと20名以上亡くなっている
https://twitter.com/東海アマ/status/856617404234846208

第16回日本心不全学会学術集会
「心不全パンデミック」大震災における心不全の増加はこれまで報告がない。

『チェルノブイリの祈り』
たくさんの人があっけなく死んでいく　ベンチに座ったまま　バスを待ちながら
説明のつかない死が多かった　多くの人が脳卒中や心筋梗塞を起こした　駅やバスの中で

小泉義仁(51) 、駅で脳梗塞。　　ス　　ピ　　リ　　チ　　ュ　　ア　　ル　　Ｔ　　Ｖ
森岡賢(49)、、心不全。　　　　元　　ソ　　フ　　ト　　バ　　レ　　エ
飯野賢治(42) 、心不全。　　　　Ｄ　　の　　食　　卓
今井洋介 (31) 、心筋梗塞。　　　テ　　ラ　　ス　　ハ　　ウ　　ス
木村唯(18)、右足切断、筋肉腫。　花　や　し　き　少　女　歌　劇　団

**名刺は切らしておりまして** · 2017/08/15(火) 21:22:50.00

**260** · 2017/08/15(火) 21:23:19.45

失礼
8

**名刺は切らしておりまして** · 2017/08/15(火) 22:01:03.40

バーク送りの商人に般若の面を装備させても
大王イカに殺される

**名刺は切らしておりまして** · 2017/08/15(火) 22:01:59.42

送信ミスに誤爆
本当に申し訳ない

**名刺は切らしておりまして** · 2017/08/16(水) 09:14:18.32

>>258
100文字は無駄かも知らんけど40文字（単語にして4～5）の他人にとっては無関係に見える単語列で十分だという話をしているのが>>1
ありがちな手としては聖書○ページの○行目から縦読み（で当たる単語）とか
○ページから○ページの先頭の単語とか

**名刺は切らしておりまして** · 2017/08/16(水) 09:16:00.78

あと
大文字小文字、記号の切り替えは手間なので排除できるのもメリットだとか書いてあったな

**名刺は切らしておりまして** · 2017/08/16(水) 09:21:11.96

関係ないけどそのページのカタカナだけ拾い読みすると放送禁止用語になる小説とか小松左京ほか数名が書いていた

**名刺は切らしておりまして** · 2017/08/16(水) 12:24:44.74

>>248
どこのUnix？

**名刺は切らしておりまして** · 2017/08/17(木) 08:40:34.06

アメリカＴＶドラマではどんな暗号でも解析ソフトにかけられてすぐ暗号解読できたりする
あるいは天才ハッカーがあちこちにいたりする

**名刺は切らしておりまして** · 2017/08/17(木) 17:45:19.04

　　　　　自　分　の　手　は　汚　さ　な　い　ん　で　し　ょ　？

上原多香子の『グータンヌーボ』での発言

優香　　どうやって別れるの？
上原　　私、あまり・・・言わせちゃうかもしれない
小池　　え・・・

優香　　向こうから？
上原　　あんまり、そういう言葉を切り出すのができないから
小池　　追い込むんだ？　自分の手は汚さないんでしょ？

上原　　ズルいって言われた事があるかも
小池　　凄くない・・・？

【閲覧注意】上原多香子の不倫事件、実は凄い真相が隠されていたのでは・・・
https://www.youtube.com/watch?v=idErOfCwAIQ

**名刺は切らしておりまして** · 2017/08/17(木) 20:58:29.50

>>264
>ありがちな手としては聖書○ページの○行目から縦読み（で当たる単語）とか
○ページから○ページの先頭の単語とか

これをやめろと言ってるの
こんな誰でも思い付くもの簡単に予測されるわ
上記の方法にプラスしてアルファベット一文字二文字ずらす方法も同様

お前さんが40文字のパスワードのパターンを10^20個考えろと言われたら間違いなく考え付くだろ
余裕で突破される

**名刺は切らしておりまして** · 2017/08/18(金) 10:11:36.30

>>270
> お前さんが40文字のパスワードのパターンを10^20個考えろと言われたら間違いなく考え付くだろ
> 余裕で突破される
え？本気でそんなこと言ってんの？
もしそうならプログラミングはまあいいとして設計は任せられないからそっち方面の仕事はしないほうがいい
何で10^20なのか知らんけど6単語というところだな。この仮定でいいか
1回の試行がまあ高性能のシステムつかっているとして0.1μSで照合できるとする
平均5×10^12秒程度で確かに当たるよ
15万8000年ぐらいだけどな
32万年かけるか100万台規模のクラスタ使えば余裕かもしらんな。それがコストに見合うなら

ああ、出版社違えば版組変わるから同じ聖書でも同じにならない。それでも気になるなら自分の書いた卒論の英文アブストラクトでも使えばいい

**名刺は切らしておりまして** · 2017/08/18(金) 10:40:39.90

日本語の他に、ヘブライ語、タイ語、アラビア語みたいな解読が難解な文字もOKにすればいい

**名刺は切らしておりまして** · 2017/08/18(金) 18:58:29.80

>>272㈲㍾の方が難読

**名刺は切らしておりまして** · 2017/08/18(金) 19:51:28.25

なまむぎなまごめなまたまも

**名刺は切らしておりまして** · 2017/08/18(金) 19:58:05.17

バイクの名前とかだと
記号（ハイフン）と数字が入っていい感じ
YZF-R1とか

**名刺は切らしておりまして** · 2017/08/18(金) 20:28:07.09

>>1
タイトルが悪い
一般的に大文字や記号を入れることは意味ある
辞書攻撃でやられてしまうようなパスワードの一部を大文字や類似形の記号に入れ替えても意味ないだけ
そういうのはlibcrackの走査対象

**名刺は切らしておりまして** · 2017/08/18(金) 20:33:59.43

>>271
アホだな
パターンごとの期待値は均一ではなく
パスワードに使われやすいパターンがあるってのが問題なの
そのために既存のパターンと既存パターンを単純な変換で求めたパターンは大した数じゃない
あと君は思いつかないようだが世界にコンピュータは一台ではないしサーバーも一台ではない、もちろんパスワードを求めるサイトも一つではない
そのため実際にクラックする場合は数百万台のPCを乗っ取り並列して行うことになるため君の計算は的外れもいいとこ

**名刺は切らしておりまして** · 2017/08/18(金) 20:36:26.34

今でも総当たり認証なんて出来るの？

**名刺は切らしておりまして** · 2017/08/18(金) 20:56:51.45

>>278
認証？
攻撃のこと？
パスワードが6文字しかなけりゃ
全ビットパターンを一日かからず総当りできるぞ

**名刺は切らしておりまして** · 2017/08/18(金) 21:29:14.10

>>279
３回ぐらいでロックかかるんじゃないの？回避出来るならロック機能て意味なしだね。

**名刺は切らしておりまして** · 2017/08/18(金) 21:58:56.71

三回間違えたらロック掛けられて

**名刺は切らしておりまして** · 2017/08/18(金) 22:07:07.06

連続10回間違えたら12時間ぐらいログオン禁止にすればいい。

**名刺は切らしておりまして** · 2017/08/18(金) 22:34:27.07

パスワードとか、もう時代遅れ。
これからはWindowsHelloで顔認証の時代。

WindowsHelloで認証されれば、そのままActiveDirectory
にもサインアップ。
ADサーバーから、この人は認証済みですの証明書が発行
されるので、どこのサイトもパスワードなしで入れるようになる。

早くそうなるべき。

**名刺は切らしておりまして** · 2017/08/18(金) 22:42:55.91

>>283夏期休暇の後出社したらログイン出来なくなってたりして

**名刺は切らしておりまして** · 2017/08/19(土) 02:50:41.96

>>280
ネット認証限定の話じゃないので

**名刺は切らしておりまして** · 2017/08/19(土) 14:25:40.48

>>284
メガネ外したら認証してくれなかった

**名刺は切らしておりまして** · 2017/08/19(土) 23:03:33.89

>>283
写真で認証される
>>284
さすがにそれはひど過ぎ
今どきの賢い顔認証は眼鏡ぐらいなら何とかする
サングラスにマスクしたらダメかもだけどそれ何のため？

**名刺は切らしておりまして** · 2017/08/19(土) 23:13:50.64

>>277
>パスワードに使われやすいパターンがあるってのが問題なの
>そのために既存のパターンと既存パターンを単純な変換で求めたパターンは大した数じゃない
せめて>>1と元の記事
https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118
は読もうよ。全然読んでないのバレバレじゃん。こっちが要点の開設だから見たほうがいいよ
https://xkcd.com/936/

>あと君は思いつかないようだが世界にコンピュータは一台ではないしサーバーも一台ではない、
>もちろんパスワードを求めるサイトも一つではない
こんな今どき小学生でも知っていることを言ってドヤってもねぇ
私はこれ↓にも参加してたよ。1999年かぁ前世紀の話だよこれ
http://www.distributed.net/DES/ja

まあ、もうちょっと勉強したほうがいいかもしれないね。それより性格直したほうがいいか

**名刺は切らしておりまして** · 2017/08/20(日) 00:39:15.14

>>287日焼けとシミと夏バテで頬ｺｹてても？

**名刺は切らしておりまして** · 2017/08/20(日) 09:27:18.20

>>289
そう言うところはあまり参照しない
でないと化粧で認証不可になったりするから
基本あまり変化しないところを見てる
http://jpn.nec.com/biometrics/face/technology/structure.html

**名刺は切らしておりまして** · 2017/08/20(日) 10:31:03.32

>>288
申し訳ないが>>277は>>1を踏まえた話じゃないんだ
読めば分かると思うけど

>こんな今どき小学生でも知っていることを言ってドヤってもねぇ

知らないの君であって私ではない

**名刺は切らしておりまして** · 2017/08/20(日) 11:10:25.92

>>162
バスワードw
ケータイ厨死ねやw

**名刺は切らしておりまして** · 2017/08/20(日) 11:29:02.76

>>291
なつだねえ

**名刺は切らしておりまして** · 2017/08/20(日) 11:41:06.62

>>291
今どきこんな天然ものがいるんだ
いいものを見せてもらったわw