【IT】パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
パスワードを安全なものにするためには、アルファベットの場合は大文字と小文字を入り交ぜたり、数字や記号を加えたりすることが効果的だと考えられているわけですが、かつてこのルールを提唱していた専門家はいま、「大文字も数字も記号も、意味がなかった」と過去の発言の誤りを認めて後悔していると語っています。
驚きの後悔をWall Street Journalに語ったのは、かつてアメリカ国立標準技術研究所の所長を務め、現在は退任したビル・バー氏です。バー氏は、2003年に発表された安全なパスワードを作るためのガイドラインに携わっていた人物で、その中では「大文字と小文字を併用すること」「数字と記号を混ぜること」「定期的にパスワードを変更すること」という方法が推奨されていました。
ここで推奨されていたのが、例えばパスワードに「password」という言葉を設定していた場合だと、大文字を入れて「paSSworD」とする方法や、記号や数字を入れて「pa$$w0rD」と変化させるというもの。しかし、これらの方法は当時の現状を調査した内容に基づいているものではなく、1980年に書かれた論文の内容をもとにしたものだったため、その信頼性はあまり高くなかった模様。
また、あまり頻繁にパスワードを変更するのも良くないどころか、非効率的で、さらにはハッカーにパスワード変更のパターンを見抜かれてしまう危険すら生じるとのこと。現在72歳というバー氏はWSJに対して「私がしてきたことの多くを、今は後悔しています」と語ったそうです。
これまで推奨されてきた方法は、おそらく誰でも一度は耳にしたことがあるものであり、場合によってはパスワードを作る時に「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることもあるほど。本人自らが否定してしまった「パスワードの作り方」ですが、これとは別に推奨されているのが、複数の単語をつなげて一つの文字列にする、というもの。例えば「I want to go out and eat some ramen」(外に出かけてラーメンを食べたい)という文章をギュッと圧縮して「iwanttogooutandeatsomeramen」というふうにすれば、効率よく、しかも忘れにくい長文のパスワードを作ることができる、とのことです。
しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、別の対策を併用することも重要といえます。
http://gigazine.net/news/20170810-password/ >>1
知ってた。
初恋の子+地名とか持ち物+数字で
30桁越えを20年前から使ってるわ。 数回エラーだしたら数時間おいて正しいパスワード入れるか再設定申請しないと
使えないっていうのが一番確かだよな。 銀行や証券会社のパスワード確認画面で、
生まれた都市の名前は?
お母さんの旧姓は?
座右の銘は?
とか個人情報を聞き出す質問が続くので、うっとおしい。
みずほ銀行
お前だよ
うざいんだよ
個人情報を聞き出そうとするなよ
なんでお前の銀行に、俺の生まれた都市や母親の旧姓とかの個人情報を教えなきゃならんのだ?
お前ごときの銀行に教えるのは、英数字意味不明パスワードで十分だ 一応…小文字、大文字、数字、記号を使って10桁以上にしているけど…
http://imgur.com/opxzjwP.png >>86
「出身校は?」
ってのもあるけど、こう言うシステムを作るやつは絶望的に頭が悪いな
なんでかと言うと、小学校、中学校、大学のバリエーション
さらに、東京、東京大学、tokto、Tokyo、TOKYOとさらにバリエーションがあるから
設定した直後ならわかるかもしれないけど、時間が経てば忘れる そういえば、免許の更新時にパスワード入れないといけないんじゃなかったっけ。
確か4ケタの数字を2つだったか。
忘れちゃったよ、どうしよう。 passwordの組み合わせの多さにUPUPしています
確か…、これだったよな違った、これだったか違った
新たなネットつなげれるアイテムで観れないTwitter
半強制的にちょっと変えないといけなくなった時に
メールパスワード変更、その後忘れそのPC以外
メールが受け取れない状況に^^; つまりインターネット上でパスワードが必要となるような情報のやりとりはすべきでないということ
こんなこと誰だってわかるわい、ニートの俺には関係ないがな どうせアホでも覚えられる単語で少ない文字数なんだろ >>86
しかも銀行やサイトによって出身校
の入力は漢字がだめだったり、OK
だったりするので、どちらで入れた
かなと迷う。
最初に買ったCD(レコード)の歌手は
とかも、洋楽だったりすると面倒w パスワード 8文字で 今時少なー
暗証番号4桁数字で 1万通りしかないの? クレカなのに
今はやりのパスフレーズ 効果あるのですかね 英単語並べただけなのに
パスワードジェネレーター 忘れてしまう
二段階認証 携帯番号を全世界に公開
パスワードトークン最強だと思うわ トークン無くす奴はきっと自宅のカギも無くしてるレベル 可哀想に、こんな馬鹿の意見を聞いてパスワード考えたり変更してたやつら・・・ 結局人間が覚えやすいものは機械にとっても破り易いんだろう
自分でパス考える時代はそろそろ終わるのかも
>>32
それなら3つ分合わせた長い1つのパスワードにした方がいい
長いの一回当てるほうが時間が掛かる >>99
それは一度目に送ってはダメな人に誤って
CCしてたりするのに、二度目のメールで、
パスワード送るときに気付いたりするから、
たまには役に立つ。
同じメール内にパスワード書くのは意味ないw 大文字小文字記号は勘弁してほしい。
何度か間違ったら、しばらく入力できなくなり
入力できない時間が、増えてくやつでいいだろ。
その間に、エラーをメール送信してくれたらさらにいい。 ていうか、何度か間違ったらエラーにしてしばらく再アクセスできないようにするだけでいい。 >>8
昔だと間違いとは言えない。
初期のパスワードを破るプログラムは、英語の辞書に載っている単語を
使っていたからな。
ただ、その後、コンピュータの性能が上がると、全Asciiコードの
組み合わせを使うようになったので、意味がなくなった。 一番の問題は安全と思ってるパスワード1つを
あらゆるサイトで使ってるやつだろ 俺のATMは0001だからな
お前ら真似するな、俺と被るからな >>6
ネット銀行だとワンタイムバスワードだよね
生体認証はよ >>20
あはは、俺も同じく。
20年前のニフティサーブのパスワード使い回してるわw アルファベットだからダメなんだよ。
世界一優秀なハングルを使用したら、誰もわかりやあせん。 >>1
>しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。
そんなこと言ったらあらゆるパスワードは総当り攻撃でいつかヒットされるだろ
時間無制限なら
しかしアタックする時間には普通は制限があるので 大文字も数字もそれ自身は無意味だが
辞書に載っていないワードを作り出すためのルールとしてはある程度有効だ 銀行口座とか5回間違えると凍結だから、総当りなんかできねえよな >>118
まともなサービスなとこならな
そういうセキュリティ意識が低いところもあるってことだ
後者に当てはまるサービスは使うな、使っても個人情報は残すな
そういうところで使うパスとまともなところのパスは分けろ
そういうこったな
ずさんなところで得たパスワードを使い回し狙って大手に突撃するのが
今の情報漏えいのトレンド 質問に一々真っ正直に答える必要はない。
覚える必要もまったくなし。
なまじうろ覚えだと混乱するは必定。
暗号化して保存するのみ。
出身校は?
答え:チンコロリン村付属小学校 てな具合。
これを暗号化してSDカードとHDDに保存。
復号化してコピペOK。
現在、50本くらいあるID,パスワードはすべてこの方式。
ゆうちょなどはご丁寧に3本も質問要求してくるからにゃ〜。w 質問の意図した回答にする必要ないだろう
小学校の頃の担任の先生は?
まんまんみてみてちんちんおっき
これでいい 情シスから自社開発した生体認証システムより
元記事パターンのパスワードを推奨されて頭が痛い
ちなみに日本最大級の某IT企業系列勤務 >I want to go out and eat some ramen
長すぎ分からん4単語ぐらいにしてけろ 長いパス使ってるわ。
自分しか知りえない言葉の組み合わせと自分にしか意味のない数字と打ち間違えを混ぜた奴。 >>125
ochinpomirukuderyuuuuuu 記号が無意味なんじゃなくて、覚えづらくて短くしてしまうこと、辞書攻撃されそうな簡単な記号入り単語を使うのがよくないだけ
>>1の長いパスワードの適当な場所を記号や大文字にすればよりよいのは言うまでもない
文字種の多さより長さを重視しろいうならわかる
8文字小文字を8文字大文字小文字にするよりも16文字小文字のほうが強い ダメダメ言ってるばかりで、ズバリどうしろって言えないのが一番ダメなんだろうね。
パスワードをメモしてはダメ。
パスワードマネージャーもダメ。
同じパスワードを他所で使ってはダメ。
短いのダメ。
繰り返しはダメ。
単語をそのまま使ってはダメ。
数字と特殊文字も入れないとダメ。
定期的に変更しないとダメ。
自分は結局パスワードマネージャ+自動生成された個別パスワード。 パスワードじゃなくてメアドだけど
知ってるアラビア語の単語(わずか6文字)@キャリアのドメイン名
ってメアドで迷惑メールは3回しか来たことがない
一般的な英単語だと相手の思う壺なんだろが >>64
世間ではそれをリスクベース認証といってな
>>73
PSTN網使った二段階認証はオワコン(NIST談) >>1
なんで天文学が関係あるんだよって思ったら見間違いだった >>133
パスワードをメモするのが問題でなく
メモしたパスワードの置き場が問題なんでしょ 人間の行いに意味もくそもあるかよ!!!
テレビなんて、今や金儲けの類
NTTのテレビ電話知っとるか???
じいちゃんばあちゃんが、子供と一緒に話しかけるCM没や!!!
終わりだこの国どっかにしまゑ 3回間違えたらアウトでいいじゃん?
総当りを許可してるのが問題でしょうに >>82
敵国の核ミサイルを自国の核ミサイルで打ち落とすわけじゃないぞ? >>139
IDが推察できる場合(email addressとか)、嫌いなやつをロックアウトするのが簡単になるじゃん? >複数の単語をつなげて一つの文字列にする
これ、いいなw
好きな本の題名を変換しないで打つ感じで >>113
お前も俺か
俺Newebのパスワードだわ
>しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。
おかしな論理。
そんなこと言ったらパスワード自体の否定だ、
どういうパスワードが良くて悪くてっていう話を散々話を引きずっといて
そこでちゃぶ台返しか?
総当たりでも破られにくいものはある。
それは長くすること。
指摘されるそうだから、論理を示さず先に強弁しただけに見える。
>>2
そう、変えたばっかりにパスワードを忘れて手続きに手間がかかったりする
砂金の銀行はワンタイムパスワード併用なのでパスワードはあまり気にしていない >>79
それはパスワードが原因のセキュリティ問題じゃ無くね? ゆうちょダイレクトなんかトークンを配っておきながら
ログイン自体は合言葉を何重にも聞いてやがる パスワードありきでワンタイムパスワードが来るから
パスワードは自動ログインにしているんだがサイトに
よっては一定期間がすぎると自動ログインが解除され
てしまうので控えて置かなければいけないんだよな。 総当たり攻撃とか機械を使うやつはいろんなパターンを物凄いスピードで入力するんだろ?
ゆっくり時間を掛けて入力しないと受け付けないようにすればいいんじゃね? 今まで、かなり難解なパスワードを幾度となく設定してきたが、
数日後には忘れてしまい、メモした所在も忘れることが多いw
仮にメモした所在を覚えていても、呪文を間違えたドラクエ状態だし… >「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることも
iPadがまさにそうだよな
しかもパスワード間違うとロックして永久に使えなくしやがるし >>75
なんで?
単純に計算回数が増えるんだから解読までに時間が掛かるんじゃないの? 専門家の意見は尊重しないとな。覚えられないのメモに残したり、落したりもあるから・・・ >>149
>>1は理由が書かれてない糞記事だけど、それが理由なのかな?
入力サイト側で総当たり攻撃を防ぐ仕様になっていれば文字数増えたところで関係ないもんね。 >>144
元の記事の「定量的」な解説がこの漫画
https://xkcd.com/936/
英語だけどそんなに難しくないだろ
11文字程度の単語に色々工夫をして数字だとか記号を付け加えても2^28程度の情報量に
しかならない。少々の工夫+力押しの総当パスワードクラッカーを使ってwebサービスの
ログイン画面などに対して攻撃をかければ3日ぐらいで当たりが見つかってしまう
それに対して4つのランダムな単語を選んだ場合はどうなるか。基本単語を2000語程度
(=11ビット)とすれば関連の無い単語4つなら44bitで上と同じ条件で総当たりで探すと
550年程度はかかる。
これで不安ならもう一つ単語を増やして単語5つにすれば2000倍の複雑さになるので仮に
1つのパスワードアタックにかかる時間が1/10になったとしても解読には10万年かかるという
ことになる
30〜40文字のパスワードを受け付けるようにすればいいんだという話 セキュリティの世界は実はこの手の「因襲」や「信仰」だらけ。
騒がれる割りに、現実の被害でオープンに分析される事例が少ないからだ。
大して効果の無い「呪文」が、未だに責任逃れのために唱えられている。 漢字と平仮名片仮名使えるだけでかなり強度上がりそうといつも思ってる >>158
漢字1文字は英単語1つに匹敵する情報量を持つので単語にならない漢字の文字列はパスワードとして有効だろうね
>>156
ますます変な記事だな。
最後に
>しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、別の対策を併用することも重要といえます。
なんて捨て台詞吐いてるww
>>1のgigazineの記事がおかしいんだよ
WSJの元の記事はこれ
https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118
確認してみたけど
「しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。
そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、
別の対策を併用することも重要といえます。」
こんな文章はなかった
gigazineのクソ記者が付け加えた文章だな 一番やっかいなのはサイトの管理者とかは全て丸わかりだろ
そいつらが必ずしも善人とは限らないだろう盗むやつは盗む 「定期的にパスワードを変更すること」
かなり昔にこれを聞いた瞬間、おかしいと感じた。
複雑で長いパスワードなら、長期間同じでも破られる可能性は低い。
なので頻繁に変更はしなくてよい。
変更する前のパスワードが破られずに、変更したことが原因で変更後のパスワードが破られる可能性があるとすぐ気づいた。
だからパスワードは、頻繁に変更したことはない。
こうして専門家が誤りを認めてるのを見ると、自分の直感が正しかったのがよくわかる。 定期的な変更は無意味どころか害だって昔から思っていたわ。
あれ、日付とかの数字を付けたパスワードにして、数字の所だけ変えている奴がほとんどだろ。 昔と違って今は小文字だけアタックとか簡単な辞書で探索とかしないだろうからな >>164
gigazineとかキズモードの日本語訳記事は
内容捏造したりするから信用できないのが多いね。
あとは宣伝提灯記事。特にキズモードが酷い。 パスワードなんて個人レベルだと破られるよりサービス側から流出することの方が多いからな
それ対策としてなら定期的に変更する意味が無いとは言えない 木っ端個人のパスワードなんて流出しても大した価値はない
流出の規模が大きければ大きいほど無用の長物となる クレカは破られたらカード再発行+保険で損害をカバーという考え方なので甘くていいんだよ かつては合ってた。
しかし、解析能力向上により無力化された、ぢゃねえの?
ま、今では無意味になったのは事実だが。 >>118
> 普通、総当りなんてできなくね
キーロガー仕込まれたら、ワンタイムパスワード以外は全滅っすね。
銀行の4桁なんぞ、後ろに立ってる人いたら、暗記されてもおかしくないレベル。
コンビニATMの監視カメラに写ってるんじゃねーの
指先見えなくても、10パターンx4だから、推測可能だと思うわ、最新のAIで どんな複雑なパスワードも、時間をかければ破られる可能性がある。
それは大文字や特殊文字を混ぜても大差なかったってこと?
けっきょく短期間で頻繁にパスワードを変えるしか方法はないの?
しかしそれも管理効率が悪い。 >>126
> >>111
> あれ仕組み分からん
ややこしい乱数発生器を作る。
乱数発生のシードをネット銀行が保管する。各口座ごとにシードは変える。
口座番号に対応したシードのトークを郵送。
同じシードからは、同じ乱数の数列が出るので、1分に1回とか順次発行していけば、答え合わせが出来る。
トロイ奴がいるから、前後5分くらいはOKにしてると思われ。 >>142
サイト毎に、長い本の名前も覚えるのか、大変だな。 頻繁に変える事を安易なパスの理由にしなければ良いんだが、凡人には難しいんだろうな 俺のパスワードはいつでもどこでもona454519 爺さんばかりの職場とかIDとパスワードが壁にデカデカと貼ってあったりする ■ このスレッドは過去ログ倉庫に格納されています