「英単語の一部を規則的に記号に置き換えたパスワード」は安全ではない 53
ストーリー by hylom
結局文字長を長くするのが一番なのよね 部門より
結局文字長を長くするのが一番なのよね 部門より
日テレNEWS24で「安全なパスワードの作り方」として安全でないパスワードの作り方を紹介していたことが話題になっている。
紹介されていたのは、「アルファベットの代わりに似ている記号や数字を使う」というもの。「情報提供:トレンドマイクロ」となっているが、昨今ではこのような手法を考慮した総当たり攻撃が行われているため、あまり意味はないという。これに対しセキュリティ研究者の高木浩光氏は正しい「安全で覚えやすい」パスワードのつけ方として、「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」を提案している。
覚えやすくて短いパスワードはダメ (スコア:2, すばらしい洞察)
文字種類での複雑化は覚えやすい規則性を持たせたらほとんど意味がない、ということなんだろうな。
そもそもの話をすると「覚える」ことに依存してるというのが一番不味いんじゃないかという気がする。
結局のところ、複数のサービスで同じIDやパスワードを使い回す問題も「覚えきれないから」そうなってしまうわけで、記憶に頼らない本人認証の仕組みを技術的に実現すべきなんだろうね。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:覚えやすくて短いパスワードはダメ (スコア:2)
複雑化はいかんというのは、文字数短縮とセットになるからです。探索空間は桁数に比例して指数的に拡大するので、小文字のみ小文字数字のみとして
文字種が1/2になろうが1/4になろうが、桁数を12文字から8文字に減らされるといったことと比べれば大差ないわけです。えーと、8文字英数大小記号と
11文字英数小文字のみだと11文字の方が強いだかなんだか。
(2^7)^8 = 7.2057594e+16
(24+24+10)^11 = 2.4986644e+19
16文字まで増やしてしまうと、もう8桁と比べたら記号も制御文字も入れたって勝ち目がありませんね。圧倒的に英小文字のみの方が強くなります。
(24)^16 = 1.2116575e+22
記憶に頼らない本人認証の仕組みが必要だというのは全く正しいご意見です。実際にいくつか規格もあります……ただ、どうにも流行らんのですね。
Re: (スコア:0)
みんなが16桁にするもんだから攻撃側も16桁決め打ちできて、最終的に13-15桁のパスワードが強くなったりするオチ
Re:覚えやすくて短いパスワードはダメ (スコア:1)
今回の話って所謂 LEET (L33T) のことですね。
パスワード強度の測定ツール zxcvbn で測定してみると、
ちょっとした文字列でも LEET に引っかかって
まぁ頭で憶えられるようなパスワードを考えるのは無理臭いということを実感しました。
@ -> a、$ -> s や 0 -> o はよく知られていますし、1/! -> i,l くらいならまだしも、
7 -> t とかほとんどこじつけでしょって感じ。
7 - t (スコア:1)
7 -> t とかほとんどこじつけでしょって感じ。
7 の縦線に横線を加える書き方がときどきあります。
手書き数字認識の画像 上から3番目の7 [webkid.io]
これだと 7 -> t もなくはない感じです。
Re:覚えやすくて短いパスワードはダメ (スコア:1)
攻撃側はプログラムで自動的にやってるから、「覚える」という行為はしていないと思う。
だから「覚えやすいか否か」は、攻撃の成否とは余り関係ないんじゃないかなぁ。
「辞書に載っている単一の単語」が駄目なだけで。
「覚えやすい長いフレーズ」なら問題なくて、その一例が高木氏の言う辞書に載っている
単語を3つ繋げたものなんだと思う。
他には好きな歌の歌詞とか、兎に角「長く」ってことが重要なんじゃないかと。
パスワード使いまわし問題だって、間にサイト名を捩ったフレーズを挟むルールにしておけば
自動的な攻撃については回避できるし。
Re: (スコア:0)
だから「パスワード」じゃなくて「パスフレーズ」という単語もありますね。
「辞書に載ってる単語を複数繋げる」テクニックは随分昔に見た事ある。
たぶん、セキュリティ業界では古典テクニックの一つじゃないかな。
実際にはパスワードでも忘れる人がいることと、パスワードで十分なシステムが
多いこと。必用だったら二段階認証を導入すればすむことなどから、
あまり重要な技術でもないんだろう。
Re: (スコア:0)
「辞書に載ってる単語を複数繋げる」と言っても、よくあるフレーズにしたら台無しだよ。
ランダムに選ぶってところがキモでしょ。
だから「パスフレーズ」という呼び名も誤解を与えるからよくない。
Re: (スコア:0)
>記憶に頼らない本人認証の仕組みを技術的に実現すべき
生体認証系だと偽造されたからといって変更が効かないし、物だとなくすし、いろいろ難しいでしょうねぇ・・・
Re: (スコア:0)
間違えている人が多いけど、生体認証で利用されれる指紋や虹彩はIDであって、パスワードがわりに使うものではありません。
Re: (スコア:0)
記憶に頼らない本人認証の仕組みを技術的に実現すべきなんだろうね。
やはり付箋を貼っとくのは正しかったのだな!(オイマテ
Re: (スコア:0)
そうだね、ドームが見上げ入道に襲われても安心だし。
# ニッケル カナちゃん推しです
Re: (スコア:0)
付箋の文字をカメラで読み取って自動入力されればなお良し。
賭け (スコア:1)
>「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」
戸+毛+尾
→tokeo
短い
Re: (スコア:0)
マジレスすると、5万語の辞書から3つの語を選ぶと47bitくらいの情報量ですが、
「tokeo」だと24bitくらいですから全然ダメですよ。
後者だと総当り攻撃への耐性が1000万倍くらい弱い。
「戸毛尾」でも全部常用漢字なわけで33bitくらいしかなく、10000倍くらい弱い。
5万字載ってる漢字字典から(常用漢字とかに限定せず)ランダムに3字選ぶならいいですが。
Re: (スコア:0)
なににマジレスしてるんが知らんが、
「ランダムに3つ選んだら短くなることもあるよねwうはw弱いwwランダムに選ぶってギャンブルww」
って話なんだから、tokeoが全然ダメなことぐらいわかってるだろ…
# 結局長さが正義よ
Re: (スコア:0)
ほとんどネタにマジレスの世界だけど、
> # 結局長さが正義よ
情報量が問題なので、たとえ3文字であろうと、康熙字典からランダムにとってくるならOKだし、
ランダムに選ぶこと自体はむしろ望ましい属性でしょう。
Re: (スコア:0)
5万語の辞書から3つの語を選ぶと47bitくらいの情報量ですが、
「5万語の辞書」から「3つ」の「語」ですと
1つしか無いので解無しですェ
# 素でこんな回答が来ることも想定しないと一般普及は無理かも
Re: (スコア:0)
そのぐらいの強さでいいなら15桁の数字だけのパスワードのほうが楽でいいな。
数字+英大文字+英小文字まで範囲を広げるならたったの8文字で済む。
そんな弱いパスワードを使ってホントにいいんだろうか?
Re: (スコア:0)
Re:賭け (スコア:3)
使った辞書が広辞苑だとわかっていればそうでしょうな
「サクッと」でもない数な気もしますが
なおリンク先によればオフライン攻撃が想定されるときは5個推奨、だそうです
Re:賭け (スコア:1)
>なおリンク先によればオフライン攻撃が想定されるときは5個推奨、だそうです
もしかして、そういうのって個数固定にしないほうが強度有りますか。
3<=n で覚えられる限りとか。
#落語でおなじみの長大語… そのままだとバレやすいか。
Re:賭け (スコア:1)
現在DB等への保存時に一般的に利用されていると思われるBcryptの場合、
仕様上72オクテット(パスワードの場合は事実上72文字)までしか受け入れられないことに注意が必要です。
それより長い入力にどのように対応しているかはシステム次第ですが、
73オクテット目以降を切り捨てている可能性が高いです。
(ほかの対応方法としては、72オクテットまでに入力を制限する、
別のハッシュ――例えばSHA-2-512――を通した結果をBcryptにかけるなどの場合もあります)
73オクテット目以降を切り捨てている場合、72オクテットまで正しく入力すれば、
73オクテット目以降は何であってもverifyが通ります。
Re:賭け (スコア:1)
そういや、はるか昔に仕事でたまに利用していたサーバー(Sun?)が8文字超えたところは認識していなかった気がします。
Re: (スコア:0)
単語3つというフォーマットが決まってればそうだけど、実際にはアンダーバーで区切るやつとかハイフンで区切るやつとかキャメルケースで区切るやつとかそもそも区切らない奴とかいろんなパターンがありえるから、単純に50000の三乗とはいかないと思う。
Re: (スコア:0)
胃+兎+尾
→iuo
よーし (スコア:1)
高木浩光式でいくぞー
「Error パスワードには記号を混ぜてください」
Re: (スコア:0)
そろそろマルチバイトな文字もパスワードに使えるよう啓蒙してほしい=サービス側も受け入れてほしい。
日本中国あたりはこれだけで世界有数のパスワードクラック耐性が持てる。
Re:よーし (スコア:2)
>そろそろマルチバイトな文字もパスワードに使えるよう啓蒙してほしい=サービス側も受け入れてほしい。
齊藤斉藤齋藤
Re:よーし (スコア:1)
>齊藤斉藤齋藤
この苗字のオリジナルは「斎藤」だそうなので、是非使っ・・・
・・・あっ、パスワードだから特徴のあるものを敢えて避けたのですね、流石です。
Re:よーし (スコア:1)
かな漢字変換で画面表示する必要があり後ろから覗かれ放題とか、
よく似た異字体や全角半角によって本人でもログイン不能の謎パスワードとか、
マルチバイトだろうと短かければ総当り、辞書攻撃で陥落とか、
欠点が多い割には、そこまで効果ないんだよなあ。
結局長さが一番の強さなんだよ。漢字1文字書くより英数3文字の方が圧倒的に強い。
Re:よーし (スコア:1)
それにクラウド型のIMEを利用していると,サーバに変換情報としてパスワードが送られる事案が発生しそう(している?)
Re: (スコア:0)
予測変換、自動登録された辞書からパスワードが流出
Re: (スコア:0)
やっぱ漢は漢字直接入力だよな。マルチバイトの文字に対応していなくてもパスワードとして使える。
Re: (スコア:0)
和文タイプライター型キーボードまだ〜
Re: (スコア:0)
希望
こんな弱いパスワードにしとくから簡単に乗っ取られるわけだ
Re: (スコア:0)
イルカは私のパスワードですから使わないでください
格ゲーキャラのセリフにしてた (スコア:1)
誤適用されやすく危険に思える (スコア:0)
高光氏の方法を一般人に使わせた場合、真にランダムに単語が選択されるとは思えない。
耳慣れた単語が選ばれて実際にはずっと脆弱になると思う。
Re: (スコア:0)
まあそこは例えてみれば
「さくらさいた」と「いけぬまうみ」のどっちが強い?みたいな話だから。
「意味を持つ文章」よりは「関連があってもバラバラの3単語」の方がまだマシかも、的なことなんじゃないかと。
(これ以上ランダム性を入れると記憶しづらくなる、みたいな判断で)
あまり細々言うと「さくら銀行だから『sakuraginkokouza』にしよう」みたいなことになりかねない、とかそんな感じで(考えてくとキリがない)
職業病? (スコア:0)
パスワードを口に出せない病とパスワードを書き出せない病の合併症に苦しんでいます。
時々パスワードを申告せよという無理無体があるけど、直接そこの端末に行って自分でタイプするしかない。
というわけで、パスワードの話題は自動的にブロックがかかって語りにくい。
長い文章を暗唱しながら頭文字をパスワードにするとかって偏りやすいのかな。
「A long time ago in a galaxy far far away」で「Altaiagffa」とか。
「There ai'nt no suach thing as a free lunch」で「Tanstaafl」とか。
#もしドンピシャな人がいたらごめん。
Re:職業病? (スコア:5, おもしろおかしい)
職場ですぐに管理者のパスワードを教えろと言ってくる奴がいるので、この前立ち上げた共用のマシンの root のパスワードを
「omaenihazettainioshienai」
にしてある。
この前教えろと言われたから「おまえには絶対に教えない」ときちんとパスワードを教えたのにヘソ曲げちまった。
Re: (スコア:0)
kinsokujikoudesu
Re:職業病? (スコア:2)
十分に長いのが何より強いので、頭文字だけ入れるぐらいなら全部入れたほうがいいですよ
長さに制限があるとつらいですが、いまどきそんなHash取ってないみたいなサイトは…ない…よね…?
Re: (スコア:0)
頭文字だとどうだか知らんが、普通の英文中だと「e」の出現頻度が一番多いんだっけ?
Re: (スコア:0)
この辺でしょうか。
https://ja.wikipedia.org/wiki/%E9%A0%BB%E5%BA%A6%E5%88%86%E6%9E%90_(%E... [wikipedia.org]
こういうのもありますね。
http://www7.plala.or.jp/dvorakjp/hinshutu.htm [plala.or.jp]
https://ja.wikipedia.org/wiki/%E8%8B%B1%E8%AA%9E%E3%82%A2%E3 [wikipedia.org]
Re: (スコア:0)
Re: (スコア:0)
キーボードの配列も出現頻度によって各指に適当に分配されるようにしてるんだっけ?
Re: (スコア:0)
そんなことをするとアームが絡んで大変なことになります。
1900年代初頭にタイプライターが発明されたころからの常識です。
#yasuoka先生召喚の呪文を唱えた
Re: (スコア:0)
日記のタイトルは「#3391668の考えるタイプライターの歴史」だな