アカウント名:
パスワード:
昔、クラッキング用辞書というのを手に入れて、のぞいてみたことがあったけど、単語の羅列にしか見えなかった。それで気がついたのは、パスワードってほとんど英語を基にしてるってこと。それからは、日本語ベースのパスワードを使うようにしている。忘れにくいというメリットもある。でも、日本語ベースってのは突破されにくいんだろうか?
20年ちょっと前の話ですが、UNIX用のcryptパスワード解析ツールcrack [wikipedia.org]をそのまま使う(機械生成パターン+英語ベースの辞書攻撃)だと、あまり引っかからないが当時ネットに流通していたIME用のアイドル人名辞書「i-dic」を追加するだけで、面白いようにボロボロと引っかかかる、なんて話がありました。
わかりました、"pasuwa-do" ですね。あるいは "aikotoba"。
"寿限無"のごとく、パスワードに向いている言葉を繋げていけば強固なパスワードに!
そして忘れる。
wwitmaseal
wind was intense this morning and sand entered a little.
今朝より土風激しゅうて少砂眼入す
私のパスワードをインターネット上に公開するのはやめてください!ハッカーに狙われてしまいます!
あなたのIPアドレスは 192.168.0.1 ですね
いや、himitu です。
ローマ字の日本語って長さあたりのエントロピー低いからなあ・・・。
歌詞のフレーズやことわざ等のフレーズから子音だけを並べたパスワードは打ちやすいし秀逸だと思った
kmgyhtynytynszrisniwotnrtkknmsmd
日本語(ローマ字)クラック用辞書が使われると考えたら、パスワードが「サザエサンsazaesan」「ドラエモンdoraemon」では辞書で突破されるので数字を混ぜると攻撃に強くなるはず。数字いり「あっと驚くタメゴロー ATTOodo6tame56」とか、「およびでない oyobide9」 とかにするべし。(今度は「恥ずかしい昭和のパスワード、ワースト100」に掲載される危険を伴う)
昔競馬ファンの人が "bmnznb" をパスワードに使ってたそうな(短いな)BambooMemory Ni ZeNnBu だそうな
酔うたびに周りに喋ってたのでパスワードの意味がなかった。
なんと篠沢教授もはらたいらさんも巨泉さんも故人なんですね。なるほど遠い昔の番組になりました。「篠沢教授のブログ 」は現在は奥様が書いておられるようです。
という話題になるとついでに竹下景子まで死んだことになってしまうことがしばしば
ZeNBuかZeMBuかって判らなくなりそう
ShinozawaKyojuNiZeNBuってのも有りそうですね
やがてみなDAI語化が進んでしまいそう
数字混ぜようぜHRTIRSN3000T
ローマ字と英語を混ぜてnownayoungnibakauke
後々になってどういう人間だったか考察される可能性が、、、 [gigazine.net]
AINMMNWGMMNBKHKMDKWKZTKNI
とっかかりによく使う、rockyouの中でローマ字っぽい文字列の数が 、ざっとegrep -c -x '(([kstnhmyrwgzdbp]|sh|ch|ky|sy|ty|ny|hy|my|ry|gy|zy|dy|by|py)?[aiueo])+' rockyou.txt174085wc -l rockyou.txt14344391…だいたい1%くらい?でも今やられてるの総当たりばっかりじゃない?エントロピー使う方法ってスピードがどうしても出ないから。単語そのままとかじゃなきゃ、文字列の長さだけ気にしておけばいいような気がする。
日本語(ローマ字)クラック用辞書もあるよ。
一般的に攻撃者がそれを使うかどうかは知らない。日本のサービスを対象にするとか、特に日本人のアカウントを狙い撃ちにするとか言う意図で、まともな知識のあるクラッカーなら間違いなく使うだろうけど。
・・・どうかは知らない。・・・だろうけど。
ただの妄想垂れ流し
重要なのは辞書が存在することとその辞書を使った攻撃が存在することでしょ。そのあとが推測だからといって妄想垂れ流しと切り捨てるのはどうかな。
そのアカウントの持ち主の属性が絞られると、日本人であると特定されてる場合「日本語ローマ字のなかでよくある」から照合される可能性はありますね。
で、考えた結果全く別の言語のフレーズ(単語複数)+必要なら数字記号としてみました。ロシア語をキリル文字→アルファベットにとかいいです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
辞書 (スコア:0)
昔、クラッキング用辞書というのを手に入れて、のぞいてみたことがあったけど、単語の羅列にしか見えなかった。それで気がついたのは、パスワードってほとんど英語を基にしてるってこと。それからは、日本語ベースのパスワードを使うようにしている。忘れにくいというメリットもある。でも、日本語ベースってのは突破されにくいんだろうか?
Re:辞書 (スコア:1)
20年ちょっと前の話ですが、UNIX用のcryptパスワード解析ツールcrack [wikipedia.org]をそのまま使う(機械生成パターン+英語ベースの辞書攻撃)だと、あまり引っかからないが
当時ネットに流通していたIME用のアイドル人名辞書「i-dic」を追加するだけで、面白いようにボロボロと引っかかかる、なんて話がありました。
Re:辞書 (スコア:1)
わかりました、"pasuwa-do" ですね。
あるいは "aikotoba"。
Re:辞書 (スコア:1)
"寿限無"のごとく、パスワードに向いている言葉を繋げていけば強固なパスワードに!
そして忘れる。
Re:辞書 (スコア:1)
wwitmaseal
wind was intense this morning and sand entered a little.
今朝より土風激しゅうて少砂眼入す
Re: (スコア:0)
私のパスワードをインターネット上に公開するのはやめてください!
ハッカーに狙われてしまいます!
Re:辞書 (スコア:1)
あなたのIPアドレスは 192.168.0.1 ですね
Re: (スコア:0)
いや、himitu です。
Re: (スコア:0)
ローマ字の日本語って長さあたりのエントロピー低いからなあ・・・。
Re: (スコア:0)
歌詞のフレーズやことわざ等のフレーズから子音だけを並べたパスワードは打ちやすいし秀逸だと思った
kmgyhtynytynszrisniwotnrtkknmsmd
昭和のギャグで数字混ぜる (スコア:2)
日本語(ローマ字)クラック用辞書が使われると考えたら、パスワードが
「サザエサンsazaesan」「ドラエモンdoraemon」では辞書で突破されるので数字を混ぜると攻撃に強くなるはず。
数字いり「あっと驚くタメゴロー ATTOodo6tame56」とか、「およびでない oyobide9」 とかにするべし。
(今度は「恥ずかしい昭和のパスワード、ワースト100」に掲載される危険を伴う)
Re:昭和のギャグで数字混ぜる (スコア:1)
昔競馬ファンの人が "bmnznb" をパスワードに使ってたそうな(短いな)
BambooMemory Ni ZeNnBu だそうな
酔うたびに周りに喋ってたのでパスワードの意味がなかった。
Re:昭和のギャグで数字混ぜる (スコア:1)
SnzwKyjnZnb
お二人とも故人となられました。あ、司会者もそうですね。
昭和は遠くなりにけり。
Re:昭和のギャグで数字混ぜる (スコア:2)
なんと篠沢教授もはらたいらさんも巨泉さんも故人なんですね。なるほど遠い昔の番組になりました。
「篠沢教授のブログ 」は現在は奥様が書いておられるようです。
三択の女王 (スコア:1)
という話題になるとついでに
竹下景子まで死んだことになってしまうことがしばしば
Re: (スコア:0)
ZeNBuかZeMBuかって判らなくなりそう
ShinozawaKyojuNiZeNBu
ってのも有りそうですね
Re:昭和のギャグで数字混ぜる (スコア:1)
やがてみなDAI語化が進んでしまいそう
Re: (スコア:0)
数字混ぜようぜ
HRTIRSN3000T
Re: (スコア:0)
ローマ字と英語を混ぜてnownayoungnibakauke
Re: (スコア:0)
後々になってどういう人間だったか考察される可能性が、、、 [gigazine.net]
Re: (スコア:0)
AINMMNWGMMNBKHKMDKWKZTKNI
Re: (スコア:0)
とっかかりによく使う、rockyouの中でローマ字っぽい文字列の数が 、ざっと
egrep -c -x '(([kstnhmyrwgzdbp]|sh|ch|ky|sy|ty|ny|hy|my|ry|gy|zy|dy|by|py)?[aiueo])+' rockyou.txt
174085
wc -l rockyou.txt
14344391
…だいたい1%くらい?
でも今やられてるの総当たりばっかりじゃない?エントロピー使う方法ってスピードがどうしても出ないから。単語そのままとかじゃなきゃ、文字列の長さだけ気にしておけばいいような気がする。
Re: (スコア:0)
日本語(ローマ字)クラック用辞書もあるよ。
一般的に攻撃者がそれを使うかどうかは知らない。
日本のサービスを対象にするとか、特に日本人のアカウントを狙い撃ちにするとか言う意図で、まともな知識のあるクラッカーなら間違いなく使うだろうけど。
Re: (スコア:0)
・・・どうかは知らない。
・・・だろうけど。
ただの妄想垂れ流し
Re: (スコア:0)
重要なのは辞書が存在することとその辞書を使った攻撃が存在することでしょ。
そのあとが推測だからといって妄想垂れ流しと切り捨てるのはどうかな。
Re: (スコア:0)
そのアカウントの持ち主の属性が絞られると、日本人であると特定されてる場合「日本語ローマ字のなかでよくある」から照合される可能性はありますね。
で、考えた結果全く別の言語のフレーズ(単語複数)+必要なら数字記号としてみました。ロシア語をキリル文字→アルファベットにとかいいです。