【IT】パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
パスワードを安全なものにするためには、アルファベットの場合は大文字と小文字を入り交ぜたり、数字や記号を加えたりすることが効果的だと考えられているわけですが、かつてこのルールを提唱していた専門家はいま、「大文字も数字も記号も、意味がなかった」と過去の発言の誤りを認めて後悔していると語っています。
驚きの後悔をWall Street Journalに語ったのは、かつてアメリカ国立標準技術研究所の所長を務め、現在は退任したビル・バー氏です。バー氏は、2003年に発表された安全なパスワードを作るためのガイドラインに携わっていた人物で、その中では「大文字と小文字を併用すること」「数字と記号を混ぜること」「定期的にパスワードを変更すること」という方法が推奨されていました。
ここで推奨されていたのが、例えばパスワードに「password」という言葉を設定していた場合だと、大文字を入れて「paSSworD」とする方法や、記号や数字を入れて「pa$$w0rD」と変化させるというもの。しかし、これらの方法は当時の現状を調査した内容に基づいているものではなく、1980年に書かれた論文の内容をもとにしたものだったため、その信頼性はあまり高くなかった模様。
また、あまり頻繁にパスワードを変更するのも良くないどころか、非効率的で、さらにはハッカーにパスワード変更のパターンを見抜かれてしまう危険すら生じるとのこと。現在72歳というバー氏はWSJに対して「私がしてきたことの多くを、今は後悔しています」と語ったそうです。
これまで推奨されてきた方法は、おそらく誰でも一度は耳にしたことがあるものであり、場合によってはパスワードを作る時に「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることもあるほど。本人自らが否定してしまった「パスワードの作り方」ですが、これとは別に推奨されているのが、複数の単語をつなげて一つの文字列にする、というもの。例えば「I want to go out and eat some ramen」(外に出かけてラーメンを食べたい)という文章をギュッと圧縮して「iwanttogooutandeatsomeramen」というふうにすれば、効率よく、しかも忘れにくい長文のパスワードを作ることができる、とのことです。
しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、別の対策を併用することも重要といえます。
http://gigazine.net/news/20170810-password/ あと
大文字小文字、記号の切り替えは手間なので排除できるのもメリットだとか書いてあったな 関係ないけどそのページのカタカナだけ拾い読みすると放送禁止用語になる小説とか小松左京ほか数名が書いていた アメリカTVドラマではどんな暗号でも解析ソフトにかけられてすぐ暗号解読できたりする
あるいは天才ハッカーがあちこちにいたりする 自 分 の 手 は 汚 さ な い ん で し ょ ?
上原多香子の『グータンヌーボ』での発言
優香 どうやって別れるの?
上原 私、あまり・・・言わせちゃうかもしれない
小池 え・・・
優香 向こうから?
上原 あんまり、そういう言葉を切り出すのができないから
小池 追い込むんだ? 自分の手は汚さないんでしょ?
上原 ズルいって言われた事があるかも
小池 凄くない・・・?
【閲覧注意】上原多香子の不倫事件、実は凄い真相が隠されていたのでは・・・
https://www.youtube.com/watch?v=idErOfCwAIQ >>264
>ありがちな手としては聖書○ページの○行目から縦読み(で当たる単語)とか
○ページから○ページの先頭の単語とか
これをやめろと言ってるの
こんな誰でも思い付くもの簡単に予測されるわ
上記の方法にプラスしてアルファベット一文字二文字ずらす方法も同様
お前さんが40文字のパスワードのパターンを10^20個考えろと言われたら間違いなく考え付くだろ
余裕で突破される >>270
> お前さんが40文字のパスワードのパターンを10^20個考えろと言われたら間違いなく考え付くだろ
> 余裕で突破される
え?本気でそんなこと言ってんの?
もしそうならプログラミングはまあいいとして設計は任せられないからそっち方面の仕事はしないほうがいい
何で10^20なのか知らんけど6単語というところだな。この仮定でいいか
1回の試行がまあ高性能のシステムつかっているとして0.1μSで照合できるとする
平均5×10^12秒程度で確かに当たるよ
15万8000年ぐらいだけどな
32万年かけるか100万台規模のクラスタ使えば余裕かもしらんな。それがコストに見合うなら
ああ、出版社違えば版組変わるから同じ聖書でも同じにならない。それでも気になるなら自分の書いた卒論の英文アブストラクトでも使えばいい 日本語の他に、ヘブライ語、タイ語、アラビア語みたいな解読が難解な文字もOKにすればいい バイクの名前とかだと
記号(ハイフン)と数字が入っていい感じ
YZF-R1とか >>1
タイトルが悪い
一般的に大文字や記号を入れることは意味ある
辞書攻撃でやられてしまうようなパスワードの一部を大文字や類似形の記号に入れ替えても意味ないだけ
そういうのはlibcrackの走査対象 >>271
アホだな
パターンごとの期待値は均一ではなく
パスワードに使われやすいパターンがあるってのが問題なの
そのために既存のパターンと既存パターンを単純な変換で求めたパターンは大した数じゃない
あと君は思いつかないようだが世界にコンピュータは一台ではないしサーバーも一台ではない、もちろんパスワードを求めるサイトも一つではない
そのため実際にクラックする場合は数百万台のPCを乗っ取り並列して行うことになるため君の計算は的外れもいいとこ >>278
認証?
攻撃のこと?
パスワードが6文字しかなけりゃ
全ビットパターンを一日かからず総当りできるぞ >>279
3回ぐらいでロックかかるんじゃないの?回避出来るならロック機能て意味なしだね。 連続10回間違えたら12時間ぐらいログオン禁止にすればいい。 パスワードとか、もう時代遅れ。
これからはWindowsHelloで顔認証の時代。
WindowsHelloで認証されれば、そのままActiveDirectory
にもサインアップ。
ADサーバーから、この人は認証済みですの証明書が発行
されるので、どこのサイトもパスワードなしで入れるようになる。
早くそうなるべき。 >>283夏期休暇の後出社したらログイン出来なくなってたりして >>283
写真で認証される
>>284
さすがにそれはひど過ぎ
今どきの賢い顔認証は眼鏡ぐらいなら何とかする
サングラスにマスクしたらダメかもだけどそれ何のため? >>277
>パスワードに使われやすいパターンがあるってのが問題なの
>そのために既存のパターンと既存パターンを単純な変換で求めたパターンは大した数じゃない
せめて>>1と元の記事
https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118
は読もうよ。全然読んでないのバレバレじゃん。こっちが要点の開設だから見たほうがいいよ
https://xkcd.com/936/
>あと君は思いつかないようだが世界にコンピュータは一台ではないしサーバーも一台ではない、
>もちろんパスワードを求めるサイトも一つではない
こんな今どき小学生でも知っていることを言ってドヤってもねぇ
私はこれ↓にも参加してたよ。1999年かぁ前世紀の話だよこれ
http://www.distributed.net/DES/ja
まあ、もうちょっと勉強したほうがいいかもしれないね。それより性格直したほうがいいか >>288
申し訳ないが>>277は>>1を踏まえた話じゃないんだ
読めば分かると思うけど
>こんな今どき小学生でも知っていることを言ってドヤってもねぇ
知らないの君であって私ではない >>291
今どきこんな天然ものがいるんだ
いいものを見せてもらったわw ■ このスレッドは過去ログ倉庫に格納されています