アカウント名:
パスワード:
文字種類での複雑化は覚えやすい規則性を持たせたらほとんど意味がない、ということなんだろうな。
そもそもの話をすると「覚える」ことに依存してるというのが一番不味いんじゃないかという気がする。結局のところ、複数のサービスで同じIDやパスワードを使い回す問題も「覚えきれないから」そうなってしまうわけで、記憶に頼らない本人認証の仕組みを技術的に実現すべきなんだろうね。
攻撃側はプログラムで自動的にやってるから、「覚える」という行為はしていないと思う。だから「覚えやすいか否か」は、攻撃の成否とは余り関係ないんじゃないかなぁ。「辞書に載っている単一の単語」が駄目なだけで。
「覚えやすい長いフレーズ」なら問題なくて、その一例が高木氏の言う辞書に載っている単語を3つ繋げたものなんだと思う。他には好きな歌の歌詞とか、兎に角「長く」ってことが重要なんじゃないかと。
パスワード使いまわし問題だって、間にサイト名を捩ったフレーズを挟むルールにしておけば自動的な攻撃については回避できるし。
だから「パスワード」じゃなくて「パスフレーズ」という単語もありますね。
「辞書に載ってる単語を複数繋げる」テクニックは随分昔に見た事ある。たぶん、セキュリティ業界では古典テクニックの一つじゃないかな。
実際にはパスワードでも忘れる人がいることと、パスワードで十分なシステムが多いこと。必用だったら二段階認証を導入すればすむことなどから、あまり重要な技術でもないんだろう。
「辞書に載ってる単語を複数繋げる」と言っても、よくあるフレーズにしたら台無しだよ。ランダムに選ぶってところがキモでしょ。
だから「パスフレーズ」という呼び名も誤解を与えるからよくない。
「犬も歩けば棒に当たる」ならそうだが、「猫さんはリンゴを食べたらすってんころりん」なら大丈夫。フレーズってのはそういう意味だ。
それが分からん人にはいずれにせよランダムに選ぶなんて無理。「自分の子供たちの名前を~」みたいになるのがオチ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
覚えやすくて短いパスワードはダメ (スコア:2, すばらしい洞察)
文字種類での複雑化は覚えやすい規則性を持たせたらほとんど意味がない、ということなんだろうな。
そもそもの話をすると「覚える」ことに依存してるというのが一番不味いんじゃないかという気がする。
結局のところ、複数のサービスで同じIDやパスワードを使い回す問題も「覚えきれないから」そうなってしまうわけで、記憶に頼らない本人認証の仕組みを技術的に実現すべきなんだろうね。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:覚えやすくて短いパスワードはダメ (スコア:1)
攻撃側はプログラムで自動的にやってるから、「覚える」という行為はしていないと思う。
だから「覚えやすいか否か」は、攻撃の成否とは余り関係ないんじゃないかなぁ。
「辞書に載っている単一の単語」が駄目なだけで。
「覚えやすい長いフレーズ」なら問題なくて、その一例が高木氏の言う辞書に載っている
単語を3つ繋げたものなんだと思う。
他には好きな歌の歌詞とか、兎に角「長く」ってことが重要なんじゃないかと。
パスワード使いまわし問題だって、間にサイト名を捩ったフレーズを挟むルールにしておけば
自動的な攻撃については回避できるし。
Re: (スコア:0)
だから「パスワード」じゃなくて「パスフレーズ」という単語もありますね。
「辞書に載ってる単語を複数繋げる」テクニックは随分昔に見た事ある。
たぶん、セキュリティ業界では古典テクニックの一つじゃないかな。
実際にはパスワードでも忘れる人がいることと、パスワードで十分なシステムが
多いこと。必用だったら二段階認証を導入すればすむことなどから、
あまり重要な技術でもないんだろう。
Re: (スコア:0)
「辞書に載ってる単語を複数繋げる」と言っても、よくあるフレーズにしたら台無しだよ。
ランダムに選ぶってところがキモでしょ。
だから「パスフレーズ」という呼び名も誤解を与えるからよくない。
Re: (スコア:0)
「犬も歩けば棒に当たる」ならそうだが、
「猫さんはリンゴを食べたらすってんころりん」なら大丈夫。
フレーズってのはそういう意味だ。
それが分からん人にはいずれにせよランダムに選ぶなんて無理。
「自分の子供たちの名前を~」みたいになるのがオチ