アカウント名:
パスワード:
良いパスワードの条件(大文字小文字数字記号を混ぜる、長くする、頻繁に変更する、使い回さないetc.)を満たすような文字列の記憶など非現実的で、だからパスワード管理ツールを使うのだが、するとそのパスワード管理ツールがcrackの対象になって・・・
どーすりゃいいのさ
大文字小文字数字記号を混ぜる、長くする、頻繁に変更する、使い回さないetc
すでに、「定期的な(頻繁な)パスワード変更はリスクを増大させる」ということになっていた筈です。 また、大文字と小文字を混ぜることを強制するのも、大文字だけ・小文字だけのパスワードを候補から外せるので危険らしいと。 確実な対応は、数字・記号・文字を混ぜることと、長くする、そして使いまわさないですね。 まあ、変更を強要するサイトはありますし、個人の能力を超えている点に違いはありませんが・・・ 。
定期的なパスワード変更は一定の注意を要求するというマーケティングの一種として意味があるかもしれない。セキュリティー上必要という言い訳は通りやすいしメール通知等なら強制的に訪問もさせられる。というか電子書籍などのマーケットで無料商品を面倒にするのと同じで、実際はそういうのが主目的くらいに思ってたね。セキュリティー上ってのは言い訳で。最近になって真面目に議論されて否定されたのがむしろ意外なくらいだった。
それから大文字小文字の強制が候補を外させるってのはあまり現実的とは思えない。全部大文字小文字は2パターンしかない一方、混在は2^n-2の内どれかは分からないからね。
パスワード管理としては秘匿する使いまわし(できれば部分組み合わせ)の共通部分と、パスワード管理などに載せるランダム部分(と組み合わせパターン)を合わせるのが良いと思う。クレジットカード登録したサイトでは他のサイトで使っていない文字列を加えるとかもして。とは言ってもブラウザ標準のパスワードマネージャーは普通に使ってるけど。
パスワードの利用場面が増えた事もあり、必要な記憶量が増えすぎて管理不能になる事で、「いつものパス+連番」のような問題のあるパスワードやパスワードのメモ書きのようなリスクが高くなる。定期変更ルールで本当にランダムなパスを定期付け替えしてるやつなんてまずいない。
大文字小文字の強制はパスワードに使用可能な鍵空間サイズの話で、完全なランダム生成総当たり攻撃での強度の話としては正確。大抵は何らかの単語ベースだから意味は無いし、文字数が多いほど強度の低下は小さくなる(禁止条件に引っかかるランダムパス発生率も下がる)けどね。分かりやすく2文字英字のみで考えると、52^2=2704が26^2*2=1352まで低下する。あとこの問題は記号や数字を強制することで劇的に悪化するってのが特徴。本来一桁あたり26+26+10+記号数(酷いと4個くらい)の組み合わせを、桁数分累乗出来るのだが、4桁でそのルールを敷くと18,974,736個から26*26*10*4*nPr(4,4)=648,960個まで激減する。文字数が長ければ低下率は下がるけど、一桁あたりの情報量が激減するのは避けられない。
何らかの単語をそのまま使う奴に対してはちょっとマシになるルールだけど、本当にランダムなパスを作って運用することを考えると足枷になるとしか評価できない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
人間の能力の限界 (スコア:0)
良いパスワードの条件(大文字小文字数字記号を混ぜる、長くする、頻繁に変更する、使い回さないetc.)を満たすような文字列の記憶など非現実的で、だからパスワード管理ツールを使うのだが、するとそのパスワード管理ツールがcrackの対象になって・・・
どーすりゃいいのさ
頻繁に変更しない (スコア:1)
大文字小文字数字記号を混ぜる、長くする、頻繁に変更する、使い回さないetc
すでに、「定期的な(頻繁な)パスワード変更はリスクを増大させる」ということになっていた筈です。
また、大文字と小文字を混ぜることを強制するのも、大文字だけ・小文字だけのパスワードを候補から外せるので危険らしいと。
確実な対応は、数字・記号・文字を混ぜることと、長くする、そして使いまわさないですね。
まあ、変更を強要するサイトはありますし、個人の能力を超えている点に違いはありませんが・・・ 。
Re: (スコア:0)
定期的なパスワード変更は一定の注意を要求するというマーケティングの一種として意味があるかもしれない。
セキュリティー上必要という言い訳は通りやすいしメール通知等なら強制的に訪問もさせられる。
というか電子書籍などのマーケットで無料商品を面倒にするのと同じで、実際はそういうのが主目的くらいに思ってたね。セキュリティー上ってのは言い訳で。
最近になって真面目に議論されて否定されたのがむしろ意外なくらいだった。
それから大文字小文字の強制が候補を外させるってのはあまり現実的とは思えない。
全部大文字小文字は2パターンしかない一方、混在は2^n-2の内どれかは分からないからね。
パスワード管理としては秘匿する使いまわし(できれば部分組み合わせ)の共通部分と、パスワード管理などに載せるランダム部分(と組み合わせパターン)を合わせるのが良いと思う。
クレジットカード登録したサイトでは他のサイトで使っていない文字列を加えるとかもして。
とは言ってもブラウザ標準のパスワードマネージャーは普通に使ってるけど。
Re:頻繁に変更しない (スコア:0)
パスワードの利用場面が増えた事もあり、必要な記憶量が増えすぎて管理不能になる事で、
「いつものパス+連番」のような問題のあるパスワードやパスワードのメモ書きのようなリスクが高くなる。
定期変更ルールで本当にランダムなパスを定期付け替えしてるやつなんてまずいない。
大文字小文字の強制はパスワードに使用可能な鍵空間サイズの話で、
完全なランダム生成総当たり攻撃での強度の話としては正確。
大抵は何らかの単語ベースだから意味は無いし、
文字数が多いほど強度の低下は小さくなる
(禁止条件に引っかかるランダムパス発生率も下がる)けどね。
分かりやすく2文字英字のみで考えると、52^2=2704が26^2*2=1352まで低下する。
あとこの問題は記号や数字を強制することで劇的に悪化するってのが特徴。
本来一桁あたり26+26+10+記号数(酷いと4個くらい)の組み合わせを、桁数分累乗出来るのだが、
4桁でそのルールを敷くと18,974,736個から26*26*10*4*nPr(4,4)=648,960個まで激減する。
文字数が長ければ低下率は下がるけど、一桁あたりの情報量が激減するのは避けられない。
何らかの単語をそのまま使う奴に対してはちょっとマシになるルールだけど、
本当にランダムなパスを作って運用することを考えると足枷になるとしか評価できない。