X
【IT】パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
0001ノチラ ★
垢版 |
2017/08/11(金) 17:32:45.83ID:CAP_USER
パスワードを安全なものにするためには、アルファベットの場合は大文字と小文字を入り交ぜたり、数字や記号を加えたりすることが効果的だと考えられているわけですが、かつてこのルールを提唱していた専門家はいま、「大文字も数字も記号も、意味がなかった」と過去の発言の誤りを認めて後悔していると語っています。

驚きの後悔をWall Street Journalに語ったのは、かつてアメリカ国立標準技術研究所の所長を務め、現在は退任したビル・バー氏です。バー氏は、2003年に発表された安全なパスワードを作るためのガイドラインに携わっていた人物で、その中では「大文字と小文字を併用すること」「数字と記号を混ぜること」「定期的にパスワードを変更すること」という方法が推奨されていました。

ここで推奨されていたのが、例えばパスワードに「password」という言葉を設定していた場合だと、大文字を入れて「paSSworD」とする方法や、記号や数字を入れて「pa$$w0rD」と変化させるというもの。しかし、これらの方法は当時の現状を調査した内容に基づいているものではなく、1980年に書かれた論文の内容をもとにしたものだったため、その信頼性はあまり高くなかった模様。

また、あまり頻繁にパスワードを変更するのも良くないどころか、非効率的で、さらにはハッカーにパスワード変更のパターンを見抜かれてしまう危険すら生じるとのこと。現在72歳というバー氏はWSJに対して「私がしてきたことの多くを、今は後悔しています」と語ったそうです。

これまで推奨されてきた方法は、おそらく誰でも一度は耳にしたことがあるものであり、場合によってはパスワードを作る時に「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることもあるほど。本人自らが否定してしまった「パスワードの作り方」ですが、これとは別に推奨されているのが、複数の単語をつなげて一つの文字列にする、というもの。例えば「I want to go out and eat some ramen」(外に出かけてラーメンを食べたい)という文章をギュッと圧縮して「iwanttogooutandeatsomeramen」というふうにすれば、効率よく、しかも忘れにくい長文のパスワードを作ることができる、とのことです。

しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、別の対策を併用することも重要といえます。
http://gigazine.net/news/20170810-password/
0084名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:18:35.04ID:dERrT0/A
数回エラーだしたら数時間おいて正しいパスワード入れるか再設定申請しないと
使えないっていうのが一番確かだよな。
0085名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:23:28.67ID:/MZ3lkhD
pasuwa-dowowasureta
0086名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:25:19.88ID:LcS+TpXM
銀行や証券会社のパスワード確認画面で、


生まれた都市の名前は?
お母さんの旧姓は?
座右の銘は?

とか個人情報を聞き出す質問が続くので、うっとおしい。
みずほ銀行
お前だよ
うざいんだよ
個人情報を聞き出そうとするなよ
なんでお前の銀行に、俺の生まれた都市や母親の旧姓とかの個人情報を教えなきゃならんのだ?
お前ごときの銀行に教えるのは、英数字意味不明パスワードで十分だ
0089名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:36:50.17ID:uxKAjyxl
>>86
「出身校は?」
ってのもあるけど、こう言うシステムを作るやつは絶望的に頭が悪いな
なんでかと言うと、小学校、中学校、大学のバリエーション
さらに、東京、東京大学、tokto、Tokyo、TOKYOとさらにバリエーションがあるから
設定した直後ならわかるかもしれないけど、時間が経てば忘れる
0090名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:40:10.42ID:N2RuQQDg
そういえば、免許の更新時にパスワード入れないといけないんじゃなかったっけ。
確か4ケタの数字を2つだったか。
忘れちゃったよ、どうしよう。
0091名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:41:24.03ID:yHs/d/yn
passwordの組み合わせの多さにUPUPしています
確か…、これだったよな違った、これだったか違った
新たなネットつなげれるアイテムで観れないTwitter
半強制的にちょっと変えないといけなくなった時に
メールパスワード変更、その後忘れそのPC以外
メールが受け取れない状況に^^;
0094名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:44:17.20ID:KrMdzYUf
漢字を使わせろ
以上
0095名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:47:44.87ID:f11G4Wsj
つまりインターネット上でパスワードが必要となるような情報のやりとりはすべきでないということ
こんなこと誰だってわかるわい、ニートの俺には関係ないがな
0096名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:49:05.15ID:fWNV5DpB
どうせアホでも覚えられる単語で少ない文字数なんだろ
0097名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:50:05.86ID:+Iwpngtt
>>86
しかも銀行やサイトによって出身校
の入力は漢字がだめだったり、OK
だったりするので、どちらで入れた
かなと迷う。
最初に買ったCD(レコード)の歌手は
とかも、洋楽だったりすると面倒w
0098名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:51:03.77ID:85Y3RriT
パスワード 8文字で  今時少なー
暗証番号4桁数字で  1万通りしかないの? クレカなのに
今はやりのパスフレーズ  効果あるのですかね 英単語並べただけなのに
パスワードジェネレーター 忘れてしまう
二段階認証  携帯番号を全世界に公開

パスワードトークン最強だと思うわ トークン無くす奴はきっと自宅のカギも無くしてるレベル
0099名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:52:52.19ID:iz4AHc9Z
メールの添付ファイルのパスワードをメールで送るw
0100名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:55:17.06ID:yQz78MnE
可哀想に、こんな馬鹿の意見を聞いてパスワード考えたり変更してたやつら・・・
0101名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:57:50.74ID:HlipD71w
結局人間が覚えやすいものは機械にとっても破り易いんだろう
自分でパス考える時代はそろそろ終わるのかも

>>32
それなら3つ分合わせた長い1つのパスワードにした方がいい
長いの一回当てるほうが時間が掛かる
0102名刺は切らしておりまして
垢版 |
2017/08/11(金) 20:59:43.76ID:+Iwpngtt
>>99
それは一度目に送ってはダメな人に誤って
CCしてたりするのに、二度目のメールで、
パスワード送るときに気付いたりするから、
たまには役に立つ。

同じメール内にパスワード書くのは意味ないw
0103名刺は切らしておりまして
垢版 |
2017/08/11(金) 21:09:08.34ID:uxKAjyxl
>>99
パスワードは、
20170811
0104名刺は切らしておりまして
垢版 |
2017/08/11(金) 21:09:39.09ID:Lgq5ngVh
大文字小文字記号は勘弁してほしい。

何度か間違ったら、しばらく入力できなくなり
入力できない時間が、増えてくやつでいいだろ。

その間に、エラーをメール送信してくれたらさらにいい。
0105名刺は切らしておりまして
垢版 |
2017/08/11(金) 21:12:29.34ID:JajU3yLm
ていうか、何度か間違ったらエラーにしてしばらく再アクセスできないようにするだけでいい。
0107名刺は切らしておりまして
垢版 |
2017/08/11(金) 21:18:57.28ID:wIois3iV
>>8
昔だと間違いとは言えない。
初期のパスワードを破るプログラムは、英語の辞書に載っている単語を
使っていたからな。
ただ、その後、コンピュータの性能が上がると、全Asciiコードの
組み合わせを使うようになったので、意味がなくなった。
0113名刺は切らしておりまして
垢版 |
2017/08/11(金) 21:41:22.64ID:FWt1gtoq
>>112
お前は俺か
0114名刺は切らしておりまして
垢版 |
2017/08/11(金) 21:43:51.88ID:LkN9FMZw
アルファベットだからダメなんだよ。
世界一優秀なハングルを使用したら、誰もわかりやあせん。
0115名刺は切らしておりまして
垢版 |
2017/08/11(金) 21:51:42.55ID:BzF6SfbD
>>1
>しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。

そんなこと言ったらあらゆるパスワードは総当り攻撃でいつかヒットされるだろ
時間無制限なら

しかしアタックする時間には普通は制限があるので
0116名刺は切らしておりまして
垢版 |
2017/08/11(金) 22:00:20.15ID:hb9dwZ7G
大文字も数字もそれ自身は無意味だが
辞書に載っていないワードを作り出すためのルールとしてはある程度有効だ
0121名刺は切らしておりまして
垢版 |
2017/08/11(金) 22:18:38.51ID:/FPB+GNa
>>118
まともなサービスなとこならな
そういうセキュリティ意識が低いところもあるってことだ
後者に当てはまるサービスは使うな、使っても個人情報は残すな
そういうところで使うパスとまともなところのパスは分けろ
そういうこったな
ずさんなところで得たパスワードを使い回し狙って大手に突撃するのが
今の情報漏えいのトレンド
0122名刺は切らしておりまして
垢版 |
2017/08/11(金) 22:24:31.66ID:JlUCmtoA
質問に一々真っ正直に答える必要はない。
覚える必要もまったくなし。
なまじうろ覚えだと混乱するは必定。
暗号化して保存するのみ。
出身校は?
答え:チンコロリン村付属小学校 てな具合。
これを暗号化してSDカードとHDDに保存。
復号化してコピペOK。
現在、50本くらいあるID,パスワードはすべてこの方式。
ゆうちょなどはご丁寧に3本も質問要求してくるからにゃ〜。w
0123名刺は切らしておりまして
垢版 |
2017/08/11(金) 22:26:56.13ID:/FPB+GNa
質問の意図した回答にする必要ないだろう
小学校の頃の担任の先生は?
まんまんみてみてちんちんおっき

これでいい
0124名刺は切らしておりまして
垢版 |
2017/08/11(金) 22:39:48.62ID:z4v9gP0y
情シスから自社開発した生体認証システムより
元記事パターンのパスワードを推奨されて頭が痛い
ちなみに日本最大級の某IT企業系列勤務
0125名刺は切らしておりまして
垢版 |
2017/08/11(金) 23:23:49.50ID:Fzr3j9hf
>I want to go out and eat some ramen

長すぎ分からん4単語ぐらいにしてけろ
0127名刺は切らしておりまして
垢版 |
2017/08/11(金) 23:28:37.70ID:K7nxpMuR
長いパス使ってるわ。
自分しか知りえない言葉の組み合わせと自分にしか意味のない数字と打ち間違えを混ぜた奴。
0128名刺は切らしておりまして
垢版 |
2017/08/12(土) 00:20:07.73ID:yznwhj5H
>>125
ochinpomirukuderyuuuuuu
0129名刺は切らしておりまして
垢版 |
2017/08/12(土) 00:29:39.21ID:SBKQ3npj
記号が無意味なんじゃなくて、覚えづらくて短くしてしまうこと、辞書攻撃されそうな簡単な記号入り単語を使うのがよくないだけ
>>1の長いパスワードの適当な場所を記号や大文字にすればよりよいのは言うまでもない
文字種の多さより長さを重視しろいうならわかる
8文字小文字を8文字大文字小文字にするよりも16文字小文字のほうが強い
0131名刺は切らしておりまして
垢版 |
2017/08/12(土) 00:36:11.05ID:C1eBG/pH
パスワードの専門家もいるのか
0133名刺は切らしておりまして
垢版 |
2017/08/12(土) 01:59:20.07ID:YuFRgSf2
ダメダメ言ってるばかりで、ズバリどうしろって言えないのが一番ダメなんだろうね。

パスワードをメモしてはダメ。
パスワードマネージャーもダメ。
同じパスワードを他所で使ってはダメ。
短いのダメ。
繰り返しはダメ。
単語をそのまま使ってはダメ。
数字と特殊文字も入れないとダメ。
定期的に変更しないとダメ。

自分は結局パスワードマネージャ+自動生成された個別パスワード。
0134名刺は切らしておりまして
垢版 |
2017/08/12(土) 02:48:59.91ID:QpbuIUGO
パスワードじゃなくてメアドだけど
知ってるアラビア語の単語(わずか6文字)@キャリアのドメイン名
ってメアドで迷惑メールは3回しか来たことがない
一般的な英単語だと相手の思う壺なんだろが
0136名刺は切らしておりまして
垢版 |
2017/08/12(土) 03:11:54.10ID:maDLIVuA
>>1
なんで天文学が関係あるんだよって思ったら見間違いだった
0137名刺は切らしておりまして
垢版 |
2017/08/12(土) 03:26:20.62ID:/noJdHNI
>>133
パスワードをメモするのが問題でなく
メモしたパスワードの置き場が問題なんでしょ
0138名刺は切らしておりまして
垢版 |
2017/08/12(土) 05:59:21.27ID:ZQKlzCu9
人間の行いに意味もくそもあるかよ!!!
テレビなんて、今や金儲けの類
NTTのテレビ電話知っとるか???
じいちゃんばあちゃんが、子供と一緒に話しかけるCM没や!!!

終わりだこの国どっかにしまゑ
0142名刺は切らしておりまして
垢版 |
2017/08/12(土) 06:54:03.76ID:rfMYfFSC
>複数の単語をつなげて一つの文字列にする

これ、いいなw
好きな本の題名を変換しないで打つ感じで
0144名刺は切らしておりまして
垢版 |
2017/08/12(土) 06:57:14.43ID:B6xSeBDC
 


>しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。

おかしな論理。

そんなこと言ったらパスワード自体の否定だ、
どういうパスワードが良くて悪くてっていう話を散々話を引きずっといて
そこでちゃぶ台返しか?

総当たりでも破られにくいものはある。
それは長くすること。
指摘されるそうだから、論理を示さず先に強弁しただけに見える。


 
0145名刺は切らしておりまして
垢版 |
2017/08/12(土) 07:19:47.79ID:8mNThkRR
>>2
そう、変えたばっかりにパスワードを忘れて手続きに手間がかかったりする
砂金の銀行はワンタイムパスワード併用なのでパスワードはあまり気にしていない
0147名刺は切らしておりまして
垢版 |
2017/08/12(土) 08:37:09.09ID:KoiqyCCB
ゆうちょダイレクトなんかトークンを配っておきながら
ログイン自体は合言葉を何重にも聞いてやがる
0148名刺は切らしておりまして
垢版 |
2017/08/12(土) 08:49:42.98ID:o/+AP4X0
パスワードありきでワンタイムパスワードが来るから
パスワードは自動ログインにしているんだがサイトに
よっては一定期間がすぎると自動ログインが解除され
てしまうので控えて置かなければいけないんだよな。
0149名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:03:28.59ID:yaXaF2jF
総当たり攻撃とか機械を使うやつはいろんなパターンを物凄いスピードで入力するんだろ?
ゆっくり時間を掛けて入力しないと受け付けないようにすればいいんじゃね?
0151名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:07:05.88ID:yvitKJNH
今まで、かなり難解なパスワードを幾度となく設定してきたが、
数日後には忘れてしまい、メモした所在も忘れることが多いw
仮にメモした所在を覚えていても、呪文を間違えたドラクエ状態だし…
0152名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:14:20.42ID:pwmdRv/I
>「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることも
iPadがまさにそうだよな
しかもパスワード間違うとロックして永久に使えなくしやがるし
0153名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:22:32.58ID:EQf2Oceu
>>75
なんで?
単純に計算回数が増えるんだから解読までに時間が掛かるんじゃないの?
0154名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:23:39.89ID:pYwCM557
専門家の意見は尊重しないとな。覚えられないのメモに残したり、落したりもあるから・・・
0155名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:24:38.58ID:EQf2Oceu
>>149
>>1は理由が書かれてない糞記事だけど、それが理由なのかな?
入力サイト側で総当たり攻撃を防ぐ仕様になっていれば文字数増えたところで関係ないもんね。
0156名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:26:18.40ID:EOVSYO/8
>>144
元の記事の「定量的」な解説がこの漫画
https://xkcd.com/936/
英語だけどそんなに難しくないだろ
11文字程度の単語に色々工夫をして数字だとか記号を付け加えても2^28程度の情報量に
しかならない。少々の工夫+力押しの総当パスワードクラッカーを使ってwebサービスの
ログイン画面などに対して攻撃をかければ3日ぐらいで当たりが見つかってしまう

それに対して4つのランダムな単語を選んだ場合はどうなるか。基本単語を2000語程度
(=11ビット)とすれば関連の無い単語4つなら44bitで上と同じ条件で総当たりで探すと
550年程度はかかる。
これで不安ならもう一つ単語を増やして単語5つにすれば2000倍の複雑さになるので仮に
1つのパスワードアタックにかかる時間が1/10になったとしても解読には10万年かかるという
ことになる
30〜40文字のパスワードを受け付けるようにすればいいんだという話
0157名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:28:42.72ID:GVA/jPxx
セキュリティの世界は実はこの手の「因襲」や「信仰」だらけ。
騒がれる割りに、現実の被害でオープンに分析される事例が少ないからだ。
大して効果の無い「呪文」が、未だに責任逃れのために唱えられている。
0158名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:28:48.94ID:SFBlO1ws
漢字と平仮名片仮名使えるだけでかなり強度上がりそうといつも思ってる
0159名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:36:10.90ID:EOVSYO/8
>>158
漢字1文字は英単語1つに匹敵する情報量を持つので単語にならない漢字の文字列はパスワードとして有効だろうね
0160名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:40:20.58ID:B6xSeBDC
 


>>156

ますます変な記事だな。

最後に
>しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、別の対策を併用することも重要といえます。

なんて捨て台詞吐いてるww


 
0163名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:55:28.57ID:pcxPwP9f
>>13

おいばかやめろ
0164名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:55:35.22ID:EOVSYO/8
>>1のgigazineの記事がおかしいんだよ
WSJの元の記事はこれ
https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118
確認してみたけど
「しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。
そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、
別の対策を併用することも重要といえます。」
こんな文章はなかった
gigazineのクソ記者が付け加えた文章だな
0165名刺は切らしておりまして
垢版 |
2017/08/12(土) 09:56:01.99ID:o/+AP4X0
一番やっかいなのはサイトの管理者とかは全て丸わかりだろ
そいつらが必ずしも善人とは限らないだろう盗むやつは盗む
0166名刺は切らしておりまして
垢版 |
2017/08/12(土) 10:01:03.33ID:C2G83HcY
「定期的にパスワードを変更すること」

かなり昔にこれを聞いた瞬間、おかしいと感じた。
複雑で長いパスワードなら、長期間同じでも破られる可能性は低い。
なので頻繁に変更はしなくてよい。
変更する前のパスワードが破られずに、変更したことが原因で変更後のパスワードが破られる可能性があるとすぐ気づいた。
だからパスワードは、頻繁に変更したことはない。

こうして専門家が誤りを認めてるのを見ると、自分の直感が正しかったのがよくわかる。
0167名刺は切らしておりまして
垢版 |
2017/08/12(土) 10:02:00.41ID:UYx9vEOn
定期的な変更は無意味どころか害だって昔から思っていたわ。
あれ、日付とかの数字を付けたパスワードにして、数字の所だけ変えている奴がほとんどだろ。
0169名刺は切らしておりまして
垢版 |
2017/08/12(土) 10:16:03.09ID:EQf2Oceu
>>164
gigazineとかキズモードの日本語訳記事は
内容捏造したりするから信用できないのが多いね。
あとは宣伝提灯記事。特にキズモードが酷い。
0170名刺は切らしておりまして
垢版 |
2017/08/12(土) 10:20:50.17ID:7qIaWCdN
パスワードなんて個人レベルだと破られるよりサービス側から流出することの方が多いからな
それ対策としてなら定期的に変更する意味が無いとは言えない
0172名刺は切らしておりまして
垢版 |
2017/08/12(土) 10:36:38.87ID:TuP2kRAO
木っ端個人のパスワードなんて流出しても大した価値はない
流出の規模が大きければ大きいほど無用の長物となる
0173名刺は切らしておりまして
垢版 |
2017/08/12(土) 11:29:18.39ID:0J6QK/6Q
クレカは破られたらカード再発行+保険で損害をカバーという考え方なので甘くていいんだよ
0174名刺は切らしておりまして
垢版 |
2017/08/12(土) 12:12:48.21ID:aEAgKCQy
かつては合ってた。
しかし、解析能力向上により無力化された、ぢゃねえの?

ま、今では無意味になったのは事実だが。
0175名刺は切らしておりまして
垢版 |
2017/08/12(土) 12:14:47.71ID:aEAgKCQy
>>20
俺も20年くらい経つかな?
0176名刺は切らしておりまして
垢版 |
2017/08/12(土) 12:18:04.59ID:rIBjml1y
>>118
> 普通、総当りなんてできなくね

キーロガー仕込まれたら、ワンタイムパスワード以外は全滅っすね。

銀行の4桁なんぞ、後ろに立ってる人いたら、暗記されてもおかしくないレベル。
コンビニATMの監視カメラに写ってるんじゃねーの
指先見えなくても、10パターンx4だから、推測可能だと思うわ、最新のAIで
0177名刺は切らしておりまして
垢版 |
2017/08/12(土) 12:19:07.60ID:07dHBWBI
どんな複雑なパスワードも、時間をかければ破られる可能性がある。
それは大文字や特殊文字を混ぜても大差なかったってこと?
けっきょく短期間で頻繁にパスワードを変えるしか方法はないの?
しかしそれも管理効率が悪い。
0178名刺は切らしておりまして
垢版 |
2017/08/12(土) 12:22:18.00ID:rIBjml1y
>>126
> >>111
> あれ仕組み分からん

ややこしい乱数発生器を作る。
乱数発生のシードをネット銀行が保管する。各口座ごとにシードは変える。
口座番号に対応したシードのトークを郵送。

同じシードからは、同じ乱数の数列が出るので、1分に1回とか順次発行していけば、答え合わせが出来る。
トロイ奴がいるから、前後5分くらいはOKにしてると思われ。
0180名刺は切らしておりまして
垢版 |
2017/08/12(土) 12:31:44.89ID:CUcdejrl
頻繁に変える事を安易なパスの理由にしなければ良いんだが、凡人には難しいんだろうな
0182名刺は切らしておりまして
垢版 |
2017/08/12(土) 12:50:36.64ID:+s04mRBq
爺さんばかりの職場とかIDとパスワードが壁にデカデカと貼ってあったりする
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況