アカウント名:
パスワード:
途中でパスワードを変えなければ10^10の組み合わせを試せば必ず破れる。変えればそうはならない。こんな事も分からないのか?
>途中でパスワードを変えなければ10^10の組み合わせを試せば必ず破れる。>変えればそうはならない。
上でも指摘されてるけど、直感的にこう思ってしまう人って多いよね。実際のところ総当たり攻撃に対してパスワード変更はあんまり効果ないよね。
例えばパスワードが数字1桁で、攻撃者は1日に1個ずつ試すとすると、パスワードを変更しなければ10日で100%破られる。でも毎日パスワードを変えても約65%の確立で破られる。
銀行の暗証番号見たいに数字4桁ならもっと効果があるように直感的には思えるかもしれないけど、実際に計算してみると約63%の確立で破ら
というよりも、設定する変数が少ないです。また、さいころは出目を覚えないので確率的にも間違ってます。古典的な「パスワード強度」について簡単に解説します。# 非常に古典的な話なので全員知った上で話をしてるのかと思ってましたがそうでもないみたいなので:-P
パスワードは、試行回数を無限にとれば必ず破られます。そのため、「守りたい期間」「単位時間あたりのパスワード試行回数」「パスワード総数」「突破確率」を決める必要があります。例えば、守りたい期間が1日、試行回数が1日1回、突破確率を0.5だとするならば、パスワード総数10、つまり数字のみ1桁で十分です。# 毎日パスワードをランダムに変えた場合、さいころは出目を覚えないので、常に突破確率は0.1です。
また、上記の変数からどのくらいの期間安全なのかも判ります。例えば銀行のパスワードであれば、4桁数字のみなので「パスワード総数」=「10000」になります。(実際にはぞろ目は拒否されたりするけどここでは考えない)確率的に普通に破られたと見なす0.5を突破確率とおき、試行回数を1ヶ月に2回(3回目でロックされるので毎月2回までは試行可能)だとします。すると、208年程度は安全であると判ります。
ここで例えば、「お年玉切手シートが当たる程度の運の良さで突破されたらやだなあ」と思うのであれば「100本に2本(もらえた年賀状は1枚とする)」なので、突破確率は0.02です。つまり、お年玉切手シートに当たる程度の幸運の持ち主からでも、8年程度は安全だと言えます。
iPhoneも数回間違えると、試行可能回数が1回/15分になりますよね。仮に10回で遅延が発生するなら不眠不休でアタックされても51日は安全です。(突破確率0.5)以上のように、パスワードの強度を云々するときには、突破確率だとか試行回数だとか期間を無視して解空間のサイズ(パスワード総数)だけ話してても意味はありません。
# 映画の主役級のものすごく幸運なやつは1回目で破るかもしれないし、R田中一郎は最後の最後まで開かないかもしれない。# アメリカさんの資料だと、その確率は1/1000っておいてたような……
元ACが書きたかったのはパスワードを変更することによる強度向上の程度であって、それに対する答えにはなってない気がするのだが。それに対する解答を、「約578年」とか、「約17年」とか、具体的な数字で示さないと。結局のところ、短いパスワードを頻繁に変えるよりも、1文字追加する方が簡単に強度を上げられる。
元ACが書きたかったのはパスワードを変更することによる強度向上の程度であって、それに対する答えにはなってない気がするのだが。
それに対する解答を、「約578年」とか、「約17年」とか、具体的な数字で示さないと。結局のところ、短いパスワードを頻繁に変えるよりも、1文字追加する方が簡単に強度を上げられる。
しっかりはっきりくっきり上で具体的な数字をあげて説明したのだけれども、どこか間違っていたかな?もしかして、1/2の確率で赤、1/2の確率で黒が出るルーレットで、黒赤赤赤赤赤赤赤赤赤 (赤が9回連続)と出た場合、『次に赤がでる確率は?』と聞かれたら困る人のレベルから説明した方が良いのでせうか:-P
9999だからと言って、単細胞ロボットみたいに単純に1から順番に試すとは限らないんだよな。
1111,2222,3333....と試すかも知れないし、
ある程度単純なパターン(1234、2345,... 、9876、141421356,223620679)を辞書に登録してあるかもしれないし。
困ります。
10回も続くわけ無いから次は黒だろうjk。
と思ったが、ここまで赤が続けば次も赤な気もしないでもない。
どーしたらいいんだ!
えーい!
黒だ!
んんんんーーーーいやー赤だ!
うはー!
どっちだー!
9998までは試したのだが…
> さいころは出目を覚えないので確率的にも間違っています
っていうのが分からんのです。1回でも破られたら終わりと考えていいと思うので、
1 - (10日間連続セーフの確率) = 1- 0.910 = 0.65 になると思うんだけど。
元コメが「毎日パスワードを変えても10日以内に約65%の確率で破られる」なら合ってる?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
1x8 (スコア:0)
1回目:11111111
2回目:22222222
・
・
・
8回目:88888888
↓
1回目に戻る
という人がいました
案外大丈夫なんだ
#タイトル11111111にしたらダメだと言われてしまった
Re: (スコア:0)
定期的なパスワード変更って何で必要なんですかね。
例えば数字10桁のパスワードが必要なシステムがあったとして、
攻撃者は
0000000000
0000000001
0000000002
…
って試していくでしょ。
設定されたパスワードが9999999999だったとすると、
パスワード変更する事で解析にかかる時間はむしろ短くなりますよね
もちろん変更したことで長くなる場合もあるし、
すでにアタック済みのパスワードに変更すると
攻撃者は解析できない事もあると思います
でも確率的な期待値で考えると完全にプラマイ0でしょう
セキュリティが向上しないのにユーザに余計な手間を
かけさせるシステムは滅びた方がいいと思うよ
Re: (スコア:1, おもしろおかしい)
途中でパスワードを変えなければ10^10の組み合わせを試せば必ず破れる。
変えればそうはならない。
こんな事も分からないのか?
Re: (スコア:0)
>途中でパスワードを変えなければ10^10の組み合わせを試せば必ず破れる。
>変えればそうはならない。
上でも指摘されてるけど、直感的にこう思ってしまう人って多いよね。
実際のところ総当たり攻撃に対してパスワード変更はあんまり効果ないよね。
例えばパスワードが数字1桁で、攻撃者は1日に1個ずつ試すとすると、
パスワードを変更しなければ10日で100%破られる。
でも毎日パスワードを変えても約65%の確立で破られる。
銀行の暗証番号見たいに数字4桁ならもっと効果があるように直感的には思えるかもしれないけど、実際に計算してみると約63%の確立で破ら
間違っています(Re:1x8 (スコア:5, 参考になる)
というよりも、設定する変数が少ないです。また、さいころは出目を覚えないので確率的にも間違ってます。
古典的な「パスワード強度」について簡単に解説します。
# 非常に古典的な話なので全員知った上で話をしてるのかと思ってましたがそうでもないみたいなので:-P
パスワードは、試行回数を無限にとれば必ず破られます。
そのため、「守りたい期間」「単位時間あたりのパスワード試行回数」「パスワード総数」「突破確率」を決める必要があります。
例えば、守りたい期間が1日、試行回数が1日1回、突破確率を0.5だとするならば、パスワード総数10、つまり数字のみ1桁で十分です。
# 毎日パスワードをランダムに変えた場合、さいころは出目を覚えないので、常に突破確率は0.1です。
また、上記の変数からどのくらいの期間安全なのかも判ります。
例えば銀行のパスワードであれば、4桁数字のみなので「パスワード総数」=「10000」になります。(実際にはぞろ目は拒否されたりするけどここでは考えない)
確率的に普通に破られたと見なす0.5を突破確率とおき、試行回数を1ヶ月に2回(3回目でロックされるので毎月2回までは試行可能)だとします。
すると、208年程度は安全であると判ります。
ここで例えば、「お年玉切手シートが当たる程度の運の良さで突破されたらやだなあ」と思うのであれば
「100本に2本(もらえた年賀状は1枚とする)」なので、突破確率は0.02です。
つまり、お年玉切手シートに当たる程度の幸運の持ち主からでも、8年程度は安全だと言えます。
iPhoneも数回間違えると、試行可能回数が1回/15分になりますよね。仮に10回で遅延が発生するなら不眠不休でアタックされても51日は安全です。(突破確率0.5)
以上のように、パスワードの強度を云々するときには、突破確率だとか試行回数だとか期間を無視して解空間のサイズ(パスワード総数)だけ話してても意味はありません。
# 映画の主役級のものすごく幸運なやつは1回目で破るかもしれないし、R田中一郎は最後の最後まで開かないかもしれない。
# アメリカさんの資料だと、その確率は1/1000っておいてたような……
Re: (スコア:0)
それに対する解答を、「約578年」とか、「約17年」とか、具体的な数字で示さないと。結局のところ、短いパスワードを頻繁に変えるよりも、1文字追加する方が簡単に強度を上げられる。
馬肉もわさび園でとれるんですか?(Re:間違っています(Re:1x8 (スコア:1)
しっかりはっきりくっきり上で具体的な数字をあげて説明したのだけれども、どこか間違っていたかな?
もしかして、
1/2の確率で赤、1/2の確率で黒が出るルーレットで、
黒赤赤赤赤赤赤赤赤赤 (赤が9回連続)
と出た場合、『次に赤がでる確率は?』と聞かれたら困る人のレベルから説明した方が良いのでせうか:-P
Re: (スコア:0)
Re: (スコア:0)
9999だからと言って、単細胞ロボットみたいに単純に1から順番に試すとは限らないんだよな。
1111,2222,3333....と試すかも知れないし、
ある程度単純なパターン(1234、2345,... 、9876、141421356,223620679)を
辞書に登録してあるかもしれないし。
Re:馬肉もわさび園でとれるんですか?(Re:間違っています(Re:1x8 (スコア:2, おもしろおかしい)
困ります。
10回も続くわけ無いから次は黒だろうjk。
と思ったが、ここまで赤が続けば次も赤な気もしないでもない。
どーしたらいいんだ!
えーい!
黒だ!
んんんんーーーーいやー赤だ!
うはー!
どっちだー!
Re: (スコア:0)
ちがいますよ。
あ・ん・ど・ろ・い・ど。
Re:馬肉もわさび園でとれるんですか?(Re:間違っています(Re:1x8 (スコア:1)
9998までは試したのだが…
マラソンで二位を抜いたら何位?
Re: (スコア:0)
パスワードのパターンの総数がnとし、試行回数をm (m < n)、同じパターンを2度試行しない条件で、m-1回外れ続けた時の、m回目において外れる確率は、
パスワードの変更が全くない場合、
(n-m)/(n-m+1)
毎回パスワードが変わる場合、
1-1/n
同条件で、m回外れ続ける確率は
パスワードの変更が全くない場合、
(n-m)/n
毎回パスワードが変わる場合、
(1-1/n)^m
したがって、複数回の試行
Re: (スコア:0)
途中から、"幸運の持ち主"とか
"ものすごく幸運なやつ"とか、
フィクションの世界の言葉が出てくるので、
何が言いたかったのかわからない。
Re: (スコア:0)
> さいころは出目を覚えないので確率的にも間違っています
っていうのが分からんのです。
1回でも破られたら終わりと考えていいと思うので、
1 - (10日間連続セーフの確率) = 1- 0.910 = 0.65 になると思うんだけど。
元コメが「毎日パスワードを変えても10日以内に約65%の確率で破られる」なら合ってる?