英GCHQ、複雑すぎるパスワードの使用中止を推奨 47
ストーリー by headless
単純 部門より
単純 部門より
複雑なパスワードはユーザーの負担になるだけでセキュリティー向上にはつながらないとして、パスワードポリシーの緩和とシステム側での対応強化を推奨するガイダンスを英政府通信本部(GCHQ)が発表している。ガイダンスはGCHQの電子通信安全局(CESG)が国家インフラストラクチャー防護センター(CPNI)とともに作成したもの(Password guidance: simplifying your approach、
CESGのブログ記事、
The Independentの記事、
BetaNewsの記事)。
ユーザーの負担を軽減するための措置としては、保護の必要な場面でのみパスワードを使用すること、安全なパスワード管理手段の提供、パスワード変更を強制するのは不正ログインが疑われる場合などに限ること、ユーザー間でのパスワード共有を禁じ、ハードウェアトークンなどによるアクセスコントロール手段の導入を検討することなどが挙げられている。パスワード管理ソフトウェアを使用する場合は攻撃者のターゲットになりやすい点にも注意すべきとしている。
ユーザーにパスワードを作成させる場合、推測しにくいパスワードを選択するための指導を行い、よく使われるパスワードはブラックリストにより禁止することを推奨。一方、機械的にパスワードを生成する場合はランダムな4つの単語の組み合わせや、子音-母音-子音を繰り返した構造を持つパスワードを推奨し、複数の候補を提示してユーザーが覚えやすいものを選択できるようにすべきとのこと。ユーザー生成・機械生成いずれの場合も、パスワードを職場と自宅で共有しないことが重要だとしている。
このほか、出荷時にデフォルトパスワードが設定されている場合はデプロイ前に変更すること、管理者やリモートユーザーにはより高度なセキュリティ対策を行うこと、怪しいログイン試行を監視してロックアウトなどの措置を行うこと、パスワードを平文で保存しないことなどが推奨されている。
ユーザーの負担を軽減するための措置としては、保護の必要な場面でのみパスワードを使用すること、安全なパスワード管理手段の提供、パスワード変更を強制するのは不正ログインが疑われる場合などに限ること、ユーザー間でのパスワード共有を禁じ、ハードウェアトークンなどによるアクセスコントロール手段の導入を検討することなどが挙げられている。パスワード管理ソフトウェアを使用する場合は攻撃者のターゲットになりやすい点にも注意すべきとしている。
ユーザーにパスワードを作成させる場合、推測しにくいパスワードを選択するための指導を行い、よく使われるパスワードはブラックリストにより禁止することを推奨。一方、機械的にパスワードを生成する場合はランダムな4つの単語の組み合わせや、子音-母音-子音を繰り返した構造を持つパスワードを推奨し、複数の候補を提示してユーザーが覚えやすいものを選択できるようにすべきとのこと。ユーザー生成・機械生成いずれの場合も、パスワードを職場と自宅で共有しないことが重要だとしている。
このほか、出荷時にデフォルトパスワードが設定されている場合はデプロイ前に変更すること、管理者やリモートユーザーにはより高度なセキュリティ対策を行うこと、怪しいログイン試行を監視してロックアウトなどの措置を行うこと、パスワードを平文で保存しないことなどが推奨されている。
>英GCHQ、複雑すぎるパスワードの使用中止を推奨 (スコア:3, おもしろおかしい)
GCHQ「その方がうちら、仕事楽やし・・・」
Re:>英GCHQ、複雑すぎるパスワードの使用中止を推奨 (スコア:3, 参考になる)
GCHQが言っても、説得力なさすぎるよねw
>政府通信本部(せいふつうしんほんぶ、Government Communications Headquarters;略称GCHQ)とは、
>イギリスの情報共同体において、偵察衛星や電子機器を用いた国内外の情報収集・暗号解読業務[1](シギント)を担当する諜報機関である。
Re: (スコア:0)
「ハードウェアトークンの出力なんて調べれば分かるしな」
4単語で強度は十分(ただし乱択が適切な場合に限る) (スコア:3)
英数+記号2で6ビットなので、パスワード認証に最低限必要と思われている8文字で2^48通り。
小さな辞書8192語としても2^13で、数万語の普通の辞書から乱択するかぎりは4つで9~10文字パスワードと同程度になりますね。認証なら十分の強度と思われます(もちろん暗号化には不十分)
ただこの乱択がやっかいで #2887064 [security.srad.jp] みたいに『思いつきで4単語選ぶ』と誤解する人は少なからず出そうです。
同じパスフレーズ生成手法に関する以前のストーリー NSAでも破れないが、覚えやすいパスフレーズ [security.srad.jp] でも指摘しましたが、数学的なランダム生成しないとかえって脆弱になってしまう可能性を排除できません。
Re: (スコア:0)
日本語の住所がいいと思います。
覚えやすい、数字が入る、長い
旧町名表示なら日本人にもわからない
Re:4単語で強度は十分(ただし乱択が適切な場合に限る) (スコア:2)
実在する住所だと7桁の郵便番号と番地で網羅されるくらいのパターンしかないので、英数文字のパスワードに換算すると5, 6文字分くらいの強度ですかね。
それらしい地名を組み合わせて架空の住所を作ってしまうというアイデアあれば、興味深い試みです。
どの程度パターンが用意できるかわかりませんが、関係ない単語を組み合わせるより連想が利きやすいでしょう。
偶然面白い地名ができてしまったら他人に話してしまいそうですが。
アレゲなニュースと雑談サイト
Re:4単語で強度は十分(ただし乱択が適切な場合に限る) (スコア:2)
自宅、実家、職場にしちゃう人が続出しそうだ
Re:4単語で強度は十分(ただし乱択が適切な場合に限る) (スコア:1)
多そうなのは「東京都千代田区千代田1−1」とか「東京都千代田区永田町1丁目7−1」ですかね。
#子供の頃FMラジオ聞いてて覚えてしまったジングルが脳裏から消えない。
#ゆうび~んばんご~う530おおさかしきたくなかのしま3-2-4FMおおさか~♪
Re: (スコア:0)
秘密の質問考えたやつ並みに頭悪いな
ポリシー (スコア:1)
最近のポリシーだと英数混在とか大文字小文字混在しか駄目とか、しかもそれが場面ごとに違い、あげく8文字以内があるというもうどうすりゃいいのかわからない状態。
さらにそれを全部定期的に、前のと他サイトのと被らないように変更しろと。
一年ぐらい使わなかったサイトのパスワードなんか、そら忘れるわ。
どっちかというと、使うべきポリシーをどっかが決めて統一してくれると良い。
それならこっちも、一定のルールでパスワード決めておけば忘れにくい。
良いんだけど、既存のシステムでは難しいだろうなあ。
Re: (スコア:0)
どうして銀行とかクレジットカード会社とかに文字数を制限しているところが多いのだろうか。
カードのは8文字以内が多いし、職場で使っている某銀行のシステムはパスワード8文字固定だし。
Re:ポリシー (スコア:5, 参考になる)
未だにDESベースのアルゴリズムなcrypt関数を用いたレガシーなシステムを使っているからでは? その場合、8文字までしか使えません。
日本には「動いているシステムを弄るな」という神話がありますので、
でないと、システムの改修は難しいです。単に脆弱だというだけでは駄目で、実際に会社に損害が発生して対策委員会が開かれないとダメなんです。
完全に新しいシステムを開発する場合、流石に8文字制限にはしないと思います。
Re:ポリシー (スコア:1)
こういう話を聞くと、コンピュータ犯罪者も生態系の一つの役割を担っていると感じたりする。
Re:ポリシー (スコア:1)
DESベース?
全銀プロトコルの制限でなかったっけ?
拡張仕様もあったと思うが、結局相互通信が可能か否かの問題だから、新規開発でも制限はあるさ。
Re:ポリシー (スコア:3)
記入用紙の都合があるから、制限が必要。
passwdwabunsyougaii (スコア:0)
パスワードは文章がいいらしい。
umigasukiとかyamatoiebafuzisanとか
Re: (スコア:0)
前のエントリーでpasswordispasswordがでたばかりじゃないですか
Re: (スコア:0)
「英字、数字、記号を混ぜて8文字以上。辞書に乗っているような単語はNG」みたいなパスワードが勧められるけど、辞書に載ってるような単語を5, 6個組み合わせた長いパスワードのほうが覚えやすいし強いと思うわ。
辞書に載ってる言葉が10万として、組み合わせは10万の5〜6乗だし。
まあ、パスワードに使える文字数が12文字とか16文字までってサイトが多いから使えないけど。
Re:passwdwabunsyougaii (スコア:1)
実装するのは大変だろうけど、いっそ各種文字コード全部OKにしてしまえばいい(おもしろい)のに。
Re: (スコア:0)
隣のツリーにある通り、単語の組み合わせをランダムに生成すれば、だけどな。
Correct Horse Battery Staple (スコア:0)
が一番安全と聞いて
Re: (スコア:0)
うん,Japanglish はこういう用途にはぴったりな気がする.
l33tの出番だ (スコア:0)
文章を適当にleet speekでエンコードすれば良いんだな(白目)
まあパスワード8文字まで、的な環境では難しいが。
公機関からの呼びかけとしては「情報システムを作るときには長いパスワード文字列を使えるようにすべきである」としていくのがいいのではなかろうか
秘密の質問 (スコア:0)
あのバカ機能の禁止も盛り込んでくれ
あんな機能を入れるアホの顔が見てみたいもんだ
Re:秘密の質問 (スコア:1)
秘密の質問は大事ですよ。
パスワードの定期更新と共に駄目さ加減がわかる指標として重宝してます。
どうせパスワードマネージャ使うから (スコア:0)
基本は30桁ぐらいのランダム文字列ですよー
20も30もあるパスワードを全部暗記しろって?
ムチャいうな
Re:どうせパスワードマネージャ使うから (スコア:1)
それを普通の人がやると、ある日突然PCがクラッシュし、新しく買ったPCでパスワードが全部分からなくなる。
Re: (スコア:0)
私もそうしてたけど,パスワードマネージャー使えないようにしたクソ環境で入力するのが大変なことに気がついて,最近は12文字ぐらいに抑えるようになった
Re: (スコア:0)
そういうクソ環境って監視ツールとかMITM証明書とかてんこもりでパスワードを入力すること自体超絶リスクが高いんじゃね?
Re: (スコア:0)
最近あちこちでパスワードを要求されるのでランダムにするようにした。
しょっちゅう更新を要求されるし、キーワードなどを考えるのが面倒なので。
キーボードをデタラメに叩き、足りないと思った数字や記号を適当に追加して、紙やテキストファイルにメモ。
覚えておくのは1日何回もパスワードを入力する業務PCと自宅PCのログオン用くらい。
Re:どうせパスワードマネージャ使うから (スコア:2)
とかがおすすめ。
Re:どうせパスワードマネージャ使うから (スコア:1)
俺は
ls -la ~ | md5sum
で出てきた32文字をパスワードに使いまくってるわ・・・
日本語パスワード (スコア:0)
が使えるとセキュリティって上がるんじゃなかろうか。
どうせUnicodeなんだから、漢字カナ英数混在の「俺の入力しやすい文字」で入れれば、総当りチェックなど不可能に近くなる。
二バイト文字圏以外のシステムで使えないわけですけどね。
駄目かやっぱ。
Re:日本語パスワード (スコア:1)
IMEがパスワードを学習してしまうという致命的な問題がある
Re:日本語パスワード (スコア:4, すばらしい洞察)
ましてや「変換精度向上のため変換結果をサーバに収集します」なんて世の中ではな
Re: (スコア:0)
おっと、Social IME [social-ime.com]の悪口はそこまでだ
Re:日本語パスワード (スコア:1)
Jubilee
Re: (スコア:0)
阿波徳島のほうから来ました
Re:日本語パスワード (スコア:1)
Jubilee
Re: (スコア:0)
ECDSAの鍵長が160bitとかだし十分強度のあるパスワードはもう秘密鍵と区別が付かない
Re: (スコア:0)
いや、別に二バイト文字圏以外の場合は、従来通り、記号と半角英数でパスワード作ればいいだけじゃないか。
システム側は、パスワードに漢字やアラビア文字、タイ文字やキリル文字もOKにして、「漢字とかを常に含めなければならない」みたいなルールを作らなければ良いだけ。
問題は、他の人も言ってるようにIMEがパスワードを覚えてしまいかねない点だな。
Re: (スコア:0)
安心しろ。"TheCharactersIcanTypeEasily"ぐらいの強度しかないから。日本語には一人称がいろいろあるし、漢字で書くか、ひらがなで書くか、カタカナで書くか、バリエーションがあるとは言え、英語なら大文字小文字の使い分け、単語の区切りに利用する文字の選択、アルファベットを数字や記号に置き換え、と言った技があるから、あまり差はない。
まあ、「MacはWindowsよりも安全」というぐらいの差はあるかも知れないけどね。
Re: (スコア:0)
macで「パスワード」ってパスワード登録してwindowsからログインしたらサロゲートペアでログイン出来なくなるじゃん
まあそのための正規化ではあるけど。
Re: (スコア:0)
四文字のアルファベットすら正しく読めないのか。かわいそうに
Re: (スコア:0)
四文字のアルファベットすら正しく読めないのか。かわいそうに
ネタにマジレスしなくても笑っ
Re: (スコア:0)
ネタと分かってもらえない時点で滑ってるんだよ