「パスワードの強度を判定」するツールにご注意を 45
ストーリー by hylom
むしろアレは信じられないものだと 部門より
むしろアレは信じられないものだと 部門より
「パスワードの強度を判定」するツールやサービスはいくつかあるが、それらによる判定結果に一貫性がないことがReadWriteで取り上げられている。
コンコルディア大学の研究者らが行った調査結果によると、こうしたツールではたとえば小文字の「l」を数字の「1」に置き換えるような、「破られやすいパターン」を無視することがあるという。さらに、実際にさまざまなツールやサービスを使って検証したところ、ほぼ同一のパスワードでまったく異なる結果が出た例もあるそうだ。
サイトによって異なる基準で強度を判定しているのが原因だそうで、またその判定基準もほとんど公開されていない点も問題だとしている。また、Dropbox(と同様のアルゴリズムを採用しているKeePass)だけは例外で、そのアルゴリズム「zxcvbn」はオープンソースで公開されており、その判定基準は非常に効果的だという。
それ以前に (スコア:3, すばらしい洞察)
そいつらが集めたパスワードで辞書作って悪いことしてないって思うのはなぜ?
Re:それ以前に (スコア:2)
> そいつらが集めたパスワードで辞書作って悪いことしてないって思うのはなぜ?
ソース読みました?
そいつら
> 調査の対象となったウェブサイトには、
> アップル、Dropbox、Drupal、グーグル、eBay、マイクロソフト、PayPal、Skype、
> Tencent QQ、Twitter、ヤフー 、ロシアのメールプロバイダYandex Mailなど
> が含まれる。
が悪いことするならもっと別の方法があると思うけどね。
Re: (スコア:0)
パスワード判定させることで候補になりやすいものを得て悪用するって懸念があるって指摘でしょう。
それに対象サイトは利用者の多いのを選んだとされてるだけで、信頼されてるということを意味しない。
Re: (スコア:0)
それ判定しないでも実際に格納されたパスワードの中から多いもの選ぶだけでいいやん
Re: (スコア:0)
> 実際に格納されたパスワード
はぁ?しゅしゅ
Re: (スコア:0)
> > 実際に格納されたパスワード
>
> はぁ?しゅしゅ
そいつらが悪いことするならハッシュしないで置くと思うよ。
#そうか!まだ春休みか!!
Re: (スコア:0)
ソース読みました?
Re: (スコア:0)
ソースはよんでないけど「そいつら」ってのは
> アップル、Dropbox、Drupal、グーグル、eBay、マイクロソフト、PayPal、Skype、
> Tencent QQ、Twitter、ヤフー 、ロシアのメールプロバイダYandex Mailなど
のことで、パスワード判定なんてしないでもいくらでもパスワード集められるし、マイクロソフトに至ってはパスワードなんて必要なくせるし。
まあ、中の人が悪い事する可能性あるし、使い回しせず毎回ランダム生成が良いと思うけどね。
#あと流出・消失しても諦められる態勢作りと。
Re: (スコア:0)
そいつらはサービスのみで元記事に書いてあるツールが除かれてるし
調査に使用したものが挙がってるだけ
安全云々とは関係ない
Re: (スコア:0)
#抗う力が無い者は長いモノには巻かれとけばいい説
ルールは独自 (スコア:2)
ルールは独自でいいんじゃないのかな?
てか、なんでパスワードの強弱を表示するんだろうね?
強いって表示して破られたら誰の責任ですかね?
Re:ルールは独自 (スコア:1)
セキュリティ担当者:可能な限り強固なパスワードにさせろ
マーケティング担当:ユーザビリティ上げてログインしやすくしろ
妥協して利用者の自己責任で弱いパスワードを使用可能にする仕組みかと。
前提として不正アクセスが生じても運営側に被害が無いwebサイトの必要があるのでしょうか。
Re: (スコア:0)
弱いパスワードは危険だからです。そして、弱いパスワードを弱いと表示していないから今回問題になってるのです。
何を以って弱いと判定すべきかは、既に流出済パスワードの解析により分かっています。
Re:ルールは独自 (スコア:2)
> 弱いパスワードは危険だからです。
そんなのわかったうえでの話だろ。
> そして、弱いパスワードを弱いと
> 表示していないから今回問題になってるのです。
強いパスワードはメモされるというデメリットが
ありますけどね。
強ければそれでいいと短絡的に思ってるの?
> 何を以って弱いと判定すべきかは、
> 既に流出済パスワードの解析により分かっていま
ソースは?
Re: (スコア:0)
> 強いパスワードはメモされるというデメリットが
> ありますけどね。
ソースは?
--
(y)
Re: (スコア:0)
> --
> (y)
なんでACなの? 某頭のおかしい人みたいにIDでの発言回数制限されたりしてるの?
Re:ルールは独自 (スコア:1)
> なんでACなの? 某頭のおかしい人みたいにIDでの> 発言回数制限されたりしてるの?
ACがイタズラに書いてるだけなので触れないことをお薦めします。
↓これ自動にくっつくのでACなら故意に書かなと着きませんよ。
Re: (スコア:0)
これがオフトピだとは思えないけどな。
Re: (スコア:0)
揚げ足取りは止めましょうよ。
弱いパスワードは英字だけだったりして覚えやすいけど、強いパスワードは加えて数字記号もあったりするので覚えにくい。
だから、どっちかというとメモされやすい、ということでしょう。
にしても、
> --
> (y)
は若干気になります。
Re: (スコア:0)
強くても覚えやすいパスワードは普通に存在します。別に数字記号を入れなくても強いパスワードは作れますよ (システム的に使えるかは別ですが)。
https://xkcd.com/936/ [xkcd.com]
https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-stren... [dropbox.com]
その強度は誰基準? (スコア:0)
パスワードの強弱の判断基準がツール/サービス毎に違うという話題
Re: (スコア:0)
上記リンクでの強度は数学に基づくものであり、既存の悪い判断基準へのアンチテーゼとして書かれています。まさしく今回の話題に沿うものです。
Re: (スコア:0)
> は若干気になります。
春には毎年バカが沸きますよ。
Re: (スコア:0)
>ソースは?
zxcvbn [github.com]のAcknowledgmentsに張られているリンクより。サイトが落ちているので、Web Archiveのリンクを張っておきます。
そのサイトによれば、50%以上の人がトップ10,000個のパスワードの中のどれかを用いているとのこと。このトップ10,000個のパスワードは弱いパスワードと言えます。
10,000 Top Passwords
http://web.archive.org/web/20150209170139/https://xato.net/passwords/m... [archive.org]
>Here are some interesting facts gleaned from my most recent data:
> 0.5% of users have the password password;
> 0.4% have the passwords password
Re: (スコア:0)
流出してしまったら強い弱いには関係ないのでは?
強いパスワードだろうが流出してしまえば第三者にログインされちゃうでしょ。
Re: (スコア:0)
通常、パスワードはハッシュ化されて保存されているので、ハッシュ化されたパスワードが流出してしまっても強いパスワードであれば問題は少ないです。
しかし、弱いパスワードだと、ハッシュ化されたパスワードから、元のパスワードを取得できてしまいます。
ハッシュ化されたパスワードから元のパスワードを取得する方法としては、例えば総当たり攻撃や、レインボーテーブルを使う方法、辞書攻撃などがあります。
辞書攻撃では、攻撃成功率を上げるために、流出済平文パスワードから使用されているパスワードの傾向が調べられています。
これらの攻撃に対してパスワードが弱いか強いかは重要なのです。
Re:ルールは独自 (スコア:2)
約500万件のGmailアドレスとパスワードが漏えい、流出元は別サイトか
http://itpro.nikkeibp.co.jp/atcl/news/14/091100836/?ST=smart [nikkeibp.co.jp]
こんな話もあったね。
こういう生パスワードで総攻撃してくるのが日常。
どんなに強固でも漏れたパスワードは弱い。
ま、この場合はサイトごとにパスワード変えていればいいんだけど。
Re: (スコア:0)
それは流出したのはパスワードではなくハッシュですよね。
最近でいうとTwitterレイバンのような、本当にパスワードが流出した場合のことを言ったつもりでした。
Re: (スコア:0)
Twitterでのレイバンの件は未だ原因不明ですが、Yahooのハッシュ化パスワードの流出によるものか、もしくはパスワード固定型のID総当り攻撃と言われているようです。
いずれにせよ、パスワードが流出したものではないかと。
あなたのソーシャルアカウントは今初めて乗っ取られた訳ではない
http://blogos.com/article/107921/ [blogos.com]
Re: (スコア:0)
> 通常、パスワードはハッシュ化されて保存され
> ているので、ハッシュ化されたパスワードが流
> 出してしまっても強いパスワードであれば問題
> は少ないです。
生パスワードが流出しているのですが。
#そうか!まだ春休みか!!
Re: (スコア:0)
何の話をしているかは分かりませんが、生パスワードを保存している所なんて今日びありませんよ。
レインボー攻撃に弱い非HMACなハッシュ関数(素のMD5やSHA1)を使っているところは、まだ残ってそう気はしますが。
Re: (スコア:0)
>生パスワードを保存している所なんて今日びありませんよ
脳みそお花畑やなぁ
Re: (スコア:0)
何の話をしているかは分かりませんが、生パスワードを保存している所なんて今日びありませんよ。
もう少し世間というものを知ろう。
「ソニーはパスワード数千個を『パスワード』というフォルダに保管していた」 [gizmodo.jp]
大事なパスワード保管庫の名前が「Password」って…壁に何発か頭ぶつけてよしだよ!……
……フォルダーにはもっと沢山のパスワードが入っています。「Facebookのログインパスワード」というのもあります。
誰が見てもパスワード、どこから見てもパスワード。
暗号化もセキュリティもなしの平文で、一般常識も小学生並みのオンライン安全対策もなし、です。
Re: (スコア:0)
CHAPやAPOPを提供しているISPが絶滅していたとは知りませんでした。
Re: (スコア:0)
> レインボー攻撃に弱い非HMACなハッシュ関数
何の話をしているかは分かりませんが、なんで HMAC が出てくるの?
本来、HMAC は秘密鍵を共有していることが前提だから、ハッシュ化はできないよ。
MD5 や SHA1 のような前から順番に繰り返し変換するハッシュ関数ならば、途中まで
ハッシュを求めてそれを保存しておくことができるけど、それがレインボーテーブルに対して
有効な対策になると、?
もしかして: salt
Re: (スコア:0)
生パスワードが必要となるクライアント側となれば話は別ですよ。ハッシュだけで十分なサーバー側などとは事情が異なります。
パスワードを保存するフォルダに暗号化をかけていても、セッション中はパスワード無しでアクセスできるという状態の所も多いでしょう。
Re: (スコア:0)
ISPのパスワードは配布される鍵なので例外です。サイトでのパスワードの強度の判定は行いません。行間を読んでくださいな。
Re: (スコア:0)
HMACは定番のkeyed hashアルゴリズムです。
saltは弱かったはず…と思って今確認したところ、レインボーテーブルには強くとも、ブルートフォースやlength extension attacksに弱いとのこと。
「SHA-1+salt」はパスワードに十分だと思いますか?
http://blog.f-secure.jp/archives/50564743.html [f-secure.jp]
Salted Password Hashing - Doing it Right
https://crackstation.net/hashing-security.htm [crackstation.net]
Re: (スコア:0)
> ISPのパスワードは配布される鍵なので例外です
。
なにを例にそう言えるの?
頭のなか春なの?
> サイトでのパスワードの強度の判定は行いません。
勝手に決めるなよ!
> 行間を読んでくださいな。
君の無さすぎる知能を読むのは無理かな。
あたり前田のクラッカー (スコア:0)
| Paypal01というパスワードはSkypeの基準では脆弱とみなされたが、PayPalでは強いとされた。
そりゃそうでしょ。Paypal01すなわちPaypalが01番強いという文字列なんだから。
通販っぽい (スコア:0)
みなさんがお使いの、○○、大丈夫ですか? から始まって、最後にお勧めが出てくる流れが。
Re: (スコア:0)
最後は価格ですね。
それも「今だけ価格」か「お得な価格」
そもそも「パスワード」が時代遅れ (スコア:0)
英数記号混ぜれば8文字でいいとかって発想がもうね・・・
「パスフレーズ」のように英字だけでいいから、単純に長いほうが強度も高いし覚えやすい。
まぁ、萌え豚だと似たようなパスフレーズだらけになりそうな気もするがw
Re: (スコア:0)
その事も考慮して、zxcvbnでは人気TV番組に使われている単語を弱いと判断しています。 >似たようなパスフレーズだらけ
パスワード設定のOKライン (スコア:0)
某バグ管理システムのアカウントパスワードは、英字大文字小文字と数字を1つづつ以上含む、8文字以上の文字列を強制されるんだけど、ぶっちゃけ覚えてられない。
誤入力○回でアカウントロック方式なら、多少ゆるくて問題ないと思うんだけど。
# オープンソース系はホスティング先が分散してるので、最悪、依存してるソフトウェアの数だけ、覚えなきゃならないパスワードが増えるよねw