アカウント名:
パスワード:
文字種類での複雑化は覚えやすい規則性を持たせたらほとんど意味がない、ということなんだろうな。
そもそもの話をすると「覚える」ことに依存してるというのが一番不味いんじゃないかという気がする。結局のところ、複数のサービスで同じIDやパスワードを使い回す問題も「覚えきれないから」そうなってしまうわけで、記憶に頼らない本人認証の仕組みを技術的に実現すべきなんだろうね。
複雑化はいかんというのは、文字数短縮とセットになるからです。探索空間は桁数に比例して指数的に拡大するので、小文字のみ小文字数字のみとして文字種が1/2になろうが1/4になろうが、桁数を12文字から8文字に減らされるといったことと比べれば大差ないわけです。えーと、8文字英数大小記号と11文字英数小文字のみだと11文字の方が強いだかなんだか。
(2^7)^8 = 7.2057594e+16(24+24+10)^11 = 2.4986644e+19
16文字まで増やしてしまうと、もう8桁と比べたら記号も制御文字も入れたって勝ち目がありませんね。圧倒的に英小文字のみの方が強くなります。
(24)^16 = 1.2116575e+22
記憶に頼らない本人認証の仕組みが必要だというのは全く正しいご意見です。実際にいくつか規格もあります……ただ、どうにも流行らんのですね。
みんなが16桁にするもんだから攻撃側も16桁決め打ちできて、最終的に13-15桁のパスワードが強くなったりするオチ
今回の話って所謂 LEET (L33T) のことですね。パスワード強度の測定ツール zxcvbn で測定してみると、ちょっとした文字列でも LEET に引っかかってまぁ頭で憶えられるようなパスワードを考えるのは無理臭いということを実感しました。
@ -> a、$ -> s や 0 -> o はよく知られていますし、1/! -> i,l くらいならまだしも、7 -> t とかほとんどこじつけでしょって感じ。
7 -> t とかほとんどこじつけでしょって感じ。
7 の縦線に横線を加える書き方がときどきあります。手書き数字認識の画像 上から3番目の7 [webkid.io]これだと 7 -> t もなくはない感じです。
攻撃側はプログラムで自動的にやってるから、「覚える」という行為はしていないと思う。だから「覚えやすいか否か」は、攻撃の成否とは余り関係ないんじゃないかなぁ。「辞書に載っている単一の単語」が駄目なだけで。
「覚えやすい長いフレーズ」なら問題なくて、その一例が高木氏の言う辞書に載っている単語を3つ繋げたものなんだと思う。他には好きな歌の歌詞とか、兎に角「長く」ってことが重要なんじゃないかと。
パスワード使いまわし問題だって、間にサイト名を捩ったフレーズを挟むルールにしておけば自動的な攻撃については回避できるし。
だから「パスワード」じゃなくて「パスフレーズ」という単語もありますね。
「辞書に載ってる単語を複数繋げる」テクニックは随分昔に見た事ある。たぶん、セキュリティ業界では古典テクニックの一つじゃないかな。
実際にはパスワードでも忘れる人がいることと、パスワードで十分なシステムが多いこと。必用だったら二段階認証を導入すればすむことなどから、あまり重要な技術でもないんだろう。
「辞書に載ってる単語を複数繋げる」と言っても、よくあるフレーズにしたら台無しだよ。ランダムに選ぶってところがキモでしょ。
だから「パスフレーズ」という呼び名も誤解を与えるからよくない。
「犬も歩けば棒に当たる」ならそうだが、「猫さんはリンゴを食べたらすってんころりん」なら大丈夫。フレーズってのはそういう意味だ。
それが分からん人にはいずれにせよランダムに選ぶなんて無理。「自分の子供たちの名前を~」みたいになるのがオチ
>記憶に頼らない本人認証の仕組みを技術的に実現すべき
生体認証系だと偽造されたからといって変更が効かないし、物だとなくすし、いろいろ難しいでしょうねぇ・・・
間違えている人が多いけど、生体認証で利用されれる指紋や虹彩はIDであって、パスワードがわりに使うものではありません。
記憶に頼らない本人認証の仕組みを技術的に実現すべきなんだろうね。
やはり付箋を貼っとくのは正しかったのだな!(オイマテ
そうだね、ドームが見上げ入道に襲われても安心だし。
# ニッケル カナちゃん推しです
付箋の文字をカメラで読み取って自動入力されればなお良し。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
覚えやすくて短いパスワードはダメ (スコア:2, すばらしい洞察)
文字種類での複雑化は覚えやすい規則性を持たせたらほとんど意味がない、ということなんだろうな。
そもそもの話をすると「覚える」ことに依存してるというのが一番不味いんじゃないかという気がする。
結局のところ、複数のサービスで同じIDやパスワードを使い回す問題も「覚えきれないから」そうなってしまうわけで、記憶に頼らない本人認証の仕組みを技術的に実現すべきなんだろうね。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:覚えやすくて短いパスワードはダメ (スコア:2)
複雑化はいかんというのは、文字数短縮とセットになるからです。探索空間は桁数に比例して指数的に拡大するので、小文字のみ小文字数字のみとして
文字種が1/2になろうが1/4になろうが、桁数を12文字から8文字に減らされるといったことと比べれば大差ないわけです。えーと、8文字英数大小記号と
11文字英数小文字のみだと11文字の方が強いだかなんだか。
(2^7)^8 = 7.2057594e+16
(24+24+10)^11 = 2.4986644e+19
16文字まで増やしてしまうと、もう8桁と比べたら記号も制御文字も入れたって勝ち目がありませんね。圧倒的に英小文字のみの方が強くなります。
(24)^16 = 1.2116575e+22
記憶に頼らない本人認証の仕組みが必要だというのは全く正しいご意見です。実際にいくつか規格もあります……ただ、どうにも流行らんのですね。
Re: (スコア:0)
みんなが16桁にするもんだから攻撃側も16桁決め打ちできて、最終的に13-15桁のパスワードが強くなったりするオチ
Re:覚えやすくて短いパスワードはダメ (スコア:1)
今回の話って所謂 LEET (L33T) のことですね。
パスワード強度の測定ツール zxcvbn で測定してみると、
ちょっとした文字列でも LEET に引っかかって
まぁ頭で憶えられるようなパスワードを考えるのは無理臭いということを実感しました。
@ -> a、$ -> s や 0 -> o はよく知られていますし、1/! -> i,l くらいならまだしも、
7 -> t とかほとんどこじつけでしょって感じ。
7 - t (スコア:1)
7 -> t とかほとんどこじつけでしょって感じ。
7 の縦線に横線を加える書き方がときどきあります。
手書き数字認識の画像 上から3番目の7 [webkid.io]
これだと 7 -> t もなくはない感じです。
Re:覚えやすくて短いパスワードはダメ (スコア:1)
攻撃側はプログラムで自動的にやってるから、「覚える」という行為はしていないと思う。
だから「覚えやすいか否か」は、攻撃の成否とは余り関係ないんじゃないかなぁ。
「辞書に載っている単一の単語」が駄目なだけで。
「覚えやすい長いフレーズ」なら問題なくて、その一例が高木氏の言う辞書に載っている
単語を3つ繋げたものなんだと思う。
他には好きな歌の歌詞とか、兎に角「長く」ってことが重要なんじゃないかと。
パスワード使いまわし問題だって、間にサイト名を捩ったフレーズを挟むルールにしておけば
自動的な攻撃については回避できるし。
Re: (スコア:0)
だから「パスワード」じゃなくて「パスフレーズ」という単語もありますね。
「辞書に載ってる単語を複数繋げる」テクニックは随分昔に見た事ある。
たぶん、セキュリティ業界では古典テクニックの一つじゃないかな。
実際にはパスワードでも忘れる人がいることと、パスワードで十分なシステムが
多いこと。必用だったら二段階認証を導入すればすむことなどから、
あまり重要な技術でもないんだろう。
Re: (スコア:0)
「辞書に載ってる単語を複数繋げる」と言っても、よくあるフレーズにしたら台無しだよ。
ランダムに選ぶってところがキモでしょ。
だから「パスフレーズ」という呼び名も誤解を与えるからよくない。
Re: (スコア:0)
「犬も歩けば棒に当たる」ならそうだが、
「猫さんはリンゴを食べたらすってんころりん」なら大丈夫。
フレーズってのはそういう意味だ。
それが分からん人にはいずれにせよランダムに選ぶなんて無理。
「自分の子供たちの名前を~」みたいになるのがオチ
Re: (スコア:0)
>記憶に頼らない本人認証の仕組みを技術的に実現すべき
生体認証系だと偽造されたからといって変更が効かないし、物だとなくすし、いろいろ難しいでしょうねぇ・・・
Re: (スコア:0)
間違えている人が多いけど、生体認証で利用されれる指紋や虹彩はIDであって、パスワードがわりに使うものではありません。
Re: (スコア:0)
記憶に頼らない本人認証の仕組みを技術的に実現すべきなんだろうね。
やはり付箋を貼っとくのは正しかったのだな!(オイマテ
Re: (スコア:0)
そうだね、ドームが見上げ入道に襲われても安心だし。
# ニッケル カナちゃん推しです
Re: (スコア:0)
付箋の文字をカメラで読み取って自動入力されればなお良し。