アカウント名:
パスワード:
数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?
例えば、カブドットコム証券のログインIDは数字8桁の口座番号です。初期ログイン兼執行PWは、電話でのサービスを受けるために数字8桁です。 http://kabucom.custhelp.com/app/answers/detail/a_id/1504 [custhelp.com]変更せずに使い続けることもできます。 http://kabucom.custhelp.com/app/answers/detail/a_id/1517 [custhelp.com]
数字英字大小区別記号可で、93種使えるそうですので、8文字パスワードの組み合わせ総数は93^8≒5.6e+15よって数字のみでも16桁あれば、とりあえず同等以上と言える。
逆に英数記号だと、93^2=8649と言う事で、数字4桁は英数記号2桁分程度の性能という事に。
よって数字のみでも16桁あれば、とりあえず同等以上と言える。
なるほど。ちなみにカブコムのメインパスワードは英数字6桁~16桁で設定でき、店頭FX携帯用パスワードは英数字6~15桁だけど入力しやすい数字のみの設定を推奨で、記号は使えません。
ちなみにそれは8文字以下という今時としてはどうよってレベルの話で、普通レベルならその1.5倍から2倍は欲しいと思われ。そのカブコムとやらは金系扱うんだよね。それでそのレベルってのはどうなの?
自分が作る時だとアルファベットの大文字小文字+数字で20桁以上が普通だと思う。
で仮に数字16桁としても、ランダムな数字を16桁も覚えられないので、実用性も考慮すると数字16桁は英数字8桁よりも弱いんじゃ無かろうか。
今じゃ数字オンリーというの自体が現実的じゃ無いと思う。よほど特殊な理由が無い限り数字16桁は採用されないのでは。ましてや6桁おや。
> 数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?
まだわりと見かける「パスワード英数8文字」というサイトと同程度以上の強度にしようとすると、log(26+26+10)*8/log(10)≒14.3ですから、14文字では足りず、15文字必要ということになりますね。
#英数8文字ってのは、オフライン攻撃に対しては脆弱と見なされる強度ですので、念のため…
今回のようにオンラインで行われる攻撃の場合相当多めに見積もっても一定期間中に100回か1000回パスワードを間違えた段階でアカウントを凍結するか契約者に通知するか両方を行えば防げると思うのだが…1234のような辞書に載っている単語もあるのでそういうものは禁止して。
一定期間中に連続して間違えてたらユーザに通知して困ってるのか尋ねるくらいしないとダメでしょうね。
>1234のような辞書に載っている単語もあるのでそういうものは禁止して。
大昔から初期値が誕生日MMDDになってたそうで、そこがまずダメだろうね。パスワード変更作業が楽にできるようになってればいいけど、そうでなければ面倒で変えないユーザが多いだろうし。こっちも一定期間中にlogin & パスワード変更が無ければユーザに通知して変更を促すとかしないとダメだと思う。
高木センセイが指摘しているリバースブルートフォースという手口ですが、これは「一つのパスワード」に対して「複数のID」を順番に試すという手口です。ので一つのIDについて何回かパスワード間違えたらロックという手法では防げません。やるとしたら、「同じIPアドレスから連続して複数のIDでのログイン試行があったら、そのIPアドレスをブロック」とかでしょうか?
ボットネットとかを使えば IP も 10万種類ぐらいまでは調達できるので同一IPから1000回までのアクセスを許したとして1000回×IP10万種類×安全係数1000=10^11ぐらいのバリエーションがパスワードにないと不味くて、数字11桁は欲しいところですね。
もっとも、大規模マンションのNATゲートウェイとか、総合大学のプロキシとか、一つのIPに数千人ぶら下がっているケースもあるので1日1000回までとかにすると一部のIPを手動で解除しなければいけなくなったりしてなかなか面倒なことに。
企業内からの接続とか、ケーブルテレビとかで複数のクライアントが同一IPにいるケースや、モバイルでIPを移動しながら試行するケースが対応できません。
特にモバイルは、大量のクライアントが同じIP内に居るだけでなく個々のクライアントはIPを移りわたっていくのでタチが悪い。
クライアント証明書必須で、モバイルは別途専用アプリを用意するとかですかね。
多段認証を使うとか後はそもそも画像認証ならプログラムによる自動化に対して相当強力な妨害になりますね。そしてOCRが劇的に進歩する。
徳丸さんが紹介している「安全なウェブサイトの作り方改訂第6版」のグラフが分かりやすい。
安全なウェブサイトの作り方改訂第6版のP61からグラフの引用。文字の種類・文字数とパターン数との関係です pic.twitter.com/RjBaT0Ks1g [t.co] — 徳丸 浩 (@ockeghem) 2014, 2月 4 [twitter.com]
安全なウェブサイトの作り方改訂第6版のP61からグラフの引用。文字の種類・文字数とパターン数との関係です pic.twitter.com/RjBaT0Ks1g [t.co]
— 徳丸 浩 (@ockeghem) 2014, 2月 4 [twitter.com]
数字 15 桁で、英数記号大文字小文字の8文字程度、らしい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
数字だけの場合、何桁ならOK? (スコア:0)
数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?
例えば、カブドットコム証券のログインIDは数字8桁の口座番号です。
初期ログイン兼執行PWは、電話でのサービスを受けるために数字8桁です。 http://kabucom.custhelp.com/app/answers/detail/a_id/1504 [custhelp.com]
変更せずに使い続けることもできます。 http://kabucom.custhelp.com/app/answers/detail/a_id/1517 [custhelp.com]
Re:数字だけの場合、何桁ならOK? (スコア:5, 参考になる)
数字英字大小区別記号可で、93種使えるそうですので、
8文字パスワードの組み合わせ総数は
93^8≒5.6e+15
よって数字のみでも16桁あれば、とりあえず同等以上と言える。
Re:数字だけの場合、何桁ならOK? (スコア:1)
逆に英数記号だと、93^2=8649と言う事で、
数字4桁は英数記号2桁分程度の性能という事に。
TomOne
Re: (スコア:0)
よって数字のみでも16桁あれば、とりあえず同等以上と言える。
なるほど。
ちなみにカブコムのメインパスワードは英数字6桁~16桁で設定でき、店頭FX携帯用パスワードは英数字6~15桁だけど入力しやすい数字のみの設定を推奨で、記号は使えません。
Re: (スコア:0)
ちなみにそれは8文字以下という今時としてはどうよってレベルの話で、普通レベルならその1.5倍から2倍は欲しいと思われ。
そのカブコムとやらは金系扱うんだよね。それでそのレベルってのはどうなの?
Re: (スコア:0)
自分が作る時だとアルファベットの大文字小文字+数字で20桁以上が普通だと思う。
で仮に数字16桁としても、ランダムな数字を16桁も覚えられないので、
実用性も考慮すると数字16桁は英数字8桁よりも弱いんじゃ無かろうか。
今じゃ数字オンリーというの自体が現実的じゃ無いと思う。
よほど特殊な理由が無い限り数字16桁は採用されないのでは。
ましてや6桁おや。
Re:数字だけの場合、何桁ならOK? (スコア:3, 参考になる)
> 数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?
まだわりと見かける「パスワード英数8文字」というサイトと同程度以上の強度に
しようとすると、
log(26+26+10)*8/log(10)≒14.3
ですから、14文字では足りず、15文字必要ということになりますね。
#英数8文字ってのは、オフライン攻撃に対しては脆弱と見なされる強度ですので、念のため…
Re: (スコア:0)
今回のようにオンラインで行われる攻撃の場合相当多めに見積もっても一定期間中に100回か1000回パスワードを間違えた段階でアカウントを凍結するか契約者に通知するか両方を行えば防げると思うのだが…
1234のような辞書に載っている単語もあるのでそういうものは禁止して。
Re:数字だけの場合、何桁ならOK? (スコア:1)
一定期間中に連続して間違えてたらユーザに通知して困ってるのか尋ねるくらいしないとダメでしょうね。
>1234のような辞書に載っている単語もあるのでそういうものは禁止して。
大昔から初期値が誕生日MMDDになってたそうで、そこがまずダメだろうね。
パスワード変更作業が楽にできるようになってればいいけど、そうでなければ面倒で変えないユーザが多いだろうし。
こっちも一定期間中にlogin & パスワード変更が無ければユーザに通知して変更を促すとかしないとダメだと思う。
リバースブルートフォース (スコア:0)
高木センセイが指摘しているリバースブルートフォースという手口ですが、これは
「一つのパスワード」に対して「複数のID」を順番に試すという手口です。
ので一つのIDについて何回かパスワード間違えたらロックという手法では防げません。
やるとしたら、「同じIPアドレスから連続して複数のIDでのログイン試行があったら、そのIPアドレスをブロック」とかでしょうか?
Re:リバースブルートフォース (スコア:4, 興味深い)
ボットネットとかを使えば IP も 10万種類ぐらいまでは調達できるので
同一IPから1000回までのアクセスを許したとして
1000回×IP10万種類×安全係数1000=10^11ぐらいのバリエーションが
パスワードにないと不味くて、数字11桁は欲しいところですね。
もっとも、大規模マンションのNATゲートウェイとか、
総合大学のプロキシとか、一つのIPに数千人ぶら下がっているケースも
あるので1日1000回までとかにすると一部のIPを手動で解除しなければ
いけなくなったりしてなかなか面倒なことに。
Re: (スコア:0)
企業内からの接続とか、ケーブルテレビとかで複数のクライアントが同一IPにいるケースや、
モバイルでIPを移動しながら試行するケースが対応できません。
特にモバイルは、大量のクライアントが同じIP内に居るだけでなく
個々のクライアントはIPを移りわたっていくのでタチが悪い。
Re: (スコア:0)
クライアント証明書必須で、モバイルは別途専用アプリを用意するとかですかね。
安全性と利便性はトレードオフ (スコア:0)
多段認証を使うとか後はそもそも画像認証ならプログラムによる自動化に対して相当強力な妨害になりますね。
そしてOCRが劇的に進歩する。
Re:数字だけの場合、何桁ならOK? (スコア:1)
徳丸さんが紹介している「安全なウェブサイトの作り方改訂第6版」のグラフが分かりやすい。
数字 15 桁で、英数記号大文字小文字の8文字程度、らしい。