パスワードを忘れた? アカウント作成
2098157 story
セキュリティ

複数単語のパスワードがあれば、ネットは本当に安全なの? 65

ストーリー by hylom
覚えやすいパスワードは結局アウト? 部門より
taraiok 曰く、

普段から複数のインターネットサービスを巡回し利用していると、そのサービス利用のためにはたくさんのパスワードが必要となる。このパスワードの生成には一般的には「とにかく長くてわけが分からない」ものか、ランダムに選ばれた複数のキーワードを並べた「マルチワードパスフレーズ」が有効だと言われている。マルチワードパスフレーズは覚えやすいというメリットもあり、わりとよく知られているパスワードの生成方法だ(gizmag本家/.強力なパスワードおよびパスフレーズの作成に関するヒント)。

しかし、ケンブリッジ大学の研究によればは、この「マルチワードパスフレーズ」の安全性には確固とした根拠がないという(Light Blue Touchpaper)。彼らの実験によれば、マルチワードパスフレーズは辞書を使用した検索攻撃に屈してしまう可能性が高いとしている。とくに現在はオンラインで適切な辞書が入手できることも解析が容易な一因として挙げている。

なお、この記事によれば多くのユーザーは完全にランダムなキーワードを組み合わせてパスワードを作るのではなく、自然な文章や意味になる二つのキーワードをつなげている例が多く見られたとある。

ちなみに本家/.タレコミ人は、結局はパスワードジェネレーターなどでランダムに生成されたパスワードに戻るハメになるのではないか、としている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by skapontan (35455) on 2012年03月16日 12時48分 (#2118539) 日記

    ランダム生成パスワードをサービス別に生成して、
    それを記憶してくれる脳みそはいつ開発されるんです?

  • by Anonymous Coward on 2012年03月16日 13時21分 (#2118567)

    被害の期待値と、複雑なパスワードを忘れてしまった事による被害の期待値ではどちらが大きいんだろう?

    • by Anonymous Coward
      >被害の期待値

      ある種の「画像類」を見るためのパスワードを同居人に知られた時と、見たいときに忘れた時の期待値でいいでしょうか?
  • パスワードの使い回しだけはするまいと、パスワードジェネレータで生成してるけど、
    結局覚え切れないからLastpassを使ってます。
    でもそれはそれで心配なんだよなぁ。

    ある業務で使ってるマスターパスワードはめちゃくちゃ長いので、
    一時Yubikey [yubico.com]のstatic passphraseモードを使おうとしたこともあったけど、
    USBメモリ持ち込み禁止規則により結局使えませんでした。
    あ、YubikeyはUSBメモリじゃなくてUSB接続キーボードとして認識されるのだけど、
    管理上USBコネクタに差すものはなんでもダメという規則になってるので。
    というか、そもそもUSBコネクタはBIOSで殺されてる。

    銀の弾丸は無いんだろうなぁ。
    全てのサービスが二要素認証にできるわけでもないし。
    二要素認証に関する何らかの標準的な規格ってあるんだっけ?

    YubikeyみたいなUSBキーボードとして認識されるデバイスは過渡期にはいいと思うんですよね。
    ところがプログラマブルではない。というのは言い過ぎだけど、静的なパスワードは2つしか設定できない。

    スマートフォンがUSBキーボードとして認識されるならそういうアプリケーションを書けそうだけど、
    それはそれで更にパスワード漏れの危険性が増すだけの気もする。
    スマートキーボード?みたいなパスワード入力用の専用デバイスがあって、
    そいつが指紋認証してくれれば良いのかな?

    --
    屍体メモ [windy.cx]
    • ランダムなパスワードとサービス名を組み合わせて独自のパスワードを作る、ということもやっていたのですが、どうもパスワードの使い回し感が強いので、同じくLastpassに今はなりました。
      「強度の高いパスワードを、使い回しせずに運用する」となると、やっぱりLastpassのようなものが楽なんですよね。ただ、Lastpassはまだ利便性の方に妥協した手法だと思っているので、これで安心とは思えません。

      銀の弾丸は無いんだろうなぁ。

      完全に安心できるような方法は無いので、運用方法自体の安全性と合わせて、「(そのサービスを利用している)周囲よりも高い強度でのパスワード運用をする」という、あまり性格のよろしくないポリシーで個人的にはパスワード運用をしています。
      なのでLastpassのようなサービスが一般的に使われ始めたら、またよりセキュアなサービスを探し求める、かもしれません。

      親コメント
  • 辞書アタックだけを避けるならアナグラム化すればいいんじゃないすかね。
    アナグラム化したということと元の単語を覚えておけば、忘れても自分で類推できると思うけどダメ?
    アナグラムをした上に記号や数字を割り入れるか置き換える化すれば、辞書からはどんどん離れていってパスワードハックに対する強度は上がるし。

    たとえば
    bluebird -> dbiulreb -> d6i?lre6

    #前にいた会社では初期パスワードの発行時にこれと似たようなことをしてた。

    • そのようにして作ったパスワードを、複数サイトで使い回ししてたら、あっさりハックされましたとさ。
      全サイトで別々にそうして作ったパス覚えるとかホント勘弁して欲しい。

      親コメント
      • どうやってハクられたのでしょうか、監視カメラで動画を取られたとかキーロガーかな。
        パスフレーズ使用可能文字制限とかに併せて数個のパスワードを用意して使っているけど、それでもどれかハックされたら厳しいっすね。
        生体認証とか併せて低コストで強度が高いのってある?

        親コメント
    • > ケンブリッジ大学の研究によれば
      と聞いて、最初と最後の文字だけを一致させてアナグラムというのを考えた人は俺だけじゃないはず。
      http://www.itmedia.co.jp/news/articles/0905/08/news021.html [itmedia.co.jp]

      --
      1を聞いて0を知れ!
      親コメント
  • by AnotogasterSieboldii (37677) on 2012年03月16日 13時44分 (#2118592)

    パスワードに単語を使っている時点で脆弱だと思いますけど。

    • by Anonymous Coward

      それを言い出したら、文字の組み合わせという時点で脆弱ともいえます。

      • by digoh (17917) on 2012年03月16日 16時21分 (#2118666) 日記

        「文字を組み合わせたパスワードシステム」
        という仕様に対して、(ランダム文字列という選択肢に対して)脆弱だ、という意味でしょう。
        そういうシステムに対して「文字の組み合わせを使わない」という選択肢はないのだから。

        そういうカセ無しに「それを言い出したら」なら、「私」が最も脆弱です:)

        親コメント
  • by Anonymous Coward on 2012年03月16日 14時07分 (#2118606)

    キーワードを記録したICカードによる認証が一番楽そうだな。
    これなら、数KBにもおよぶ長いキーワードでも覚える必要がないしね。

  • by bhind (32461) on 2012年03月16日 14時18分 (#2118610) 日記

    解決方法はNavajo [wikipedia.org]ですね。
    わかります。

  • by Anonymous Coward on 2012年03月16日 14時52分 (#2118632)

    「○○すれば安全」→間違い。○○の中身を検討するまでもない。
    「○○を食べてダイエット」なら誰でもおかしいと…わかるならあんな簡単に売り切れたりしないか。

    • by Anonymous Coward on 2012年03月17日 10時20分 (#2118966)

      「○○すれば危険」→間違い。○○の中身を検討するまでもない。

      話を極論に限るんだったら、完全に安全な状態も危険な状態もあり得ないですね。
      普通はそんな話しても無駄だから、誰もしないんだけど。

      >「○○を食べてダイエット」なら誰でもおかしいと…わかるならあんな簡単に売り切れたりしないか。

      カロリーの低いものを食べて、高いものを避ければ普通にダイエットできますよ。
      低カロリーの素材をおいしく調理する本ならちっともおかしくありませんし、スタイルの良い人の多くは自分が食べる物に気を使っているんじゃないですかね?

      親コメント
  • by Anonymous Coward on 2012年03月16日 13時15分 (#2118560)

    利用者の不安は解消されないなぁ。
    たとえば、Googleには100文字のランダム文字列を使ってるけど、粘着に標的にされたら破られるでしょう。
    各サイトには、ログイン履歴(少なくとも過去数回の日時とIPくらいは)の閲覧サービスは提供してほしいと思う。

    • 100文字ならまず間違いなく大丈夫ですw
      たとえアルファベット小文字だけでも、26 ^ 100 ≒ 3.1 x 10^141 程度。 世界中にコンピュータを配置して1秒に100000000回ログインを試行できると仮定しても、すべての空間を試すのに 100000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000年以上粘着する必要があります。
      実際には記号数字も加えて更に文字が増えますし、あまりに頻繁にログインを試行するとしばらくロックされるでしょう。
      親コメント
      • mukashimukashiarutokoroniojiisantoobaasangaimashitaojiisanhayamaheshibakereniobaasanhakawahesentakuniikimashita

        111文字、なんだ簡単じゃないか

        #一文字間違ってるのはナイショだw

        親コメント
      • by Anonymous Coward

        でもさ、キーロガーしこまれたPCからログインするはめになったり、フィッシングサイトにひっかかったりする可能性も0じゃないしね。
        一瞬で抜かれるかも。

        • フィッシングとか人的なミスはどうしたらいいんだろね。人的なミスでも盗まれないシステムといえば、やはり指紋認証とか筆跡認証とかか。
          でもルパン三世なら指紋を写しとった手袋で指紋認証システム突破するしなw
          親コメント
          • ワンタイムトークンでいかがですか?
            フィッシングサイトに入力したパスワードがワンタイムトークンから発行された物であれば、
            そのパスワードをいざ本番環境で悪用しようとした時には無効になっています。

            ワンタイムトークンのアルゴリズムが盗まれなければいいんですがね。

            親コメント
            • ワンタイムトークンでもフィッシングは防げないんじゃないかな。フィッシングサイトがパスワードを受け取ったのと同時に、当該サイトのアクセスして情報を洗いざらい盗み出しておけばいい。フィッシングサイトと連動して自動的に不正アクセスするシステムを作るのは技術的にはまったく難しくはない。同じパスワードで2度目のアクセスは不可能だけど、損害を生じさせるのには1回でも不正アクセスできれば十分だと思うよ。

              でもよく考えたら指紋認証でもフィッシングは防げないや。指紋の情報をフィッシングサイトに送ってしまえば同じ事だ。
              親コメント
              • パスワードは向こうがこちらを認証する手段です。
                フィッシングなどの中間者攻撃を避けるには、こちらが向こうを認証することです。
                というわけでSSLです。
                ただ、証明書やURLを目視で確認は見落としたり騙されたりする。
                これの簡単な対策は、パスワード入れるときはブックマークとか使って決められたドメインにアクセスすること。
                あと、以前はPetname Tool [mozilla.org]使ってたんですが、対応がfirefox3.6までだし、chromeに移ったしでもう使ってない。
                似た様なの何かないかな。

                あと、別の問題はありますが、ブラウザとかにパスワード覚えさせておけば、URLとの対で覚えてるからURLの違いに気付ける。
                ただ、javascriptとかで最近そういうのが出来ないサイト増えてきた。

                しかし、スパイウェアやルートキット相手だとどうしようもないですね。オンラインでつながってるだけでもリスクですし。
                結局、こだわりすぎると究極には使わないという方向になってしまう。
                逆に言えば、そのレベルのリスクは許容範囲ともいえる。

                親コメント
          • by Anonymous Coward

            盗まれても簡単に使えないようにできればいいと思うんだよね。
            他の認証機構を使おうとしても、設備が普及してないせいでなかなか使えないけど、普通のパスワードの仕組みでも、たとえばIPなど接続情報と組み合わせて認証を通すってのは、ときどき見かけるよね。
            ソニー銀行とかその系統かな。接続端末が制限されることになるけど、そんなにデバイス所有してないしね。
            Googleも、ちょっと系統違うけど、携帯経由で発番された情報と組み合わせるとかやっているね。こっちはちょっと面倒だけど。

            • http://moneykit.net/visitor/service_info/service_info01.html#sec03 [moneykit.net]
              ソニー銀行のシステムを調べてみた。ログインする前に端末というかブラウザを登録するんだけど、 その時にパスワードとは別に、9文字以内のひらがなかカタカナで事前に登録しておいた質問の「答え」を 入力するんだね。当然「答え」は単語1個だろうから辞書攻撃に弱いし、攻撃者が身近な人間なら答えを推測できる可能性が高い。 「答え」がセキュリティとしてどのくらいの強度を持っているか客観的に評価できないので、これをセキュリティとして採用すべきではない。「秘密の質問」はよくあるシステムだけど愚策だね。
              参考: http://security.srad.jp/story/11/01/18/0828241/ [srad.jp]

              Google の登録時に携帯を使わせるのは CAPTCHA の一種じゃなかったかな?
              親コメント
      • by Anonymous Coward

        でも、「a」100文字だったら一発でビンゴ!1秒もかからずに解析完了となりますよ。
        まぁパスワードが「z」100文字で、頭から昇順に調べていくのであればそんだけかかりますが・・・
        パスワード解析ソフトってそこまで考えて調べますから、意外と早い段階でヒットしてしまう可能性はあると思います。

        #ここのパスワードさえ思い出せずに・・・AC・・・

    • by Anonymous Coward

      100文字のランダム文字列をトライするのに何年かかるんだい?
      ただの粘着には破れないでしょう。

      • by Anonymous Coward

        ただものじゃない粘着かもよ。ブルートフォースだけが手じゃないし、、。
        履歴で、他で使われたかどうかわかるだけでも安心感は増すと思うけど。

    • by Anonymous Coward

      これでも実行してみて、気持ちを落ち着けてください。

      #include <stdio.h>
       
      int main() {
        unsigned long long i, s = 0;
        for (i = 0; i != 0xffffffffffffffffULL; i++) {
          s += (s - i) * i; // 最適化を防ぐため
        }
        printf("result: %d\n", s);
        return 0;
      }

      • by Anonymous Coward

        最低でもGPGPU仕様にすべきでは?

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...