パスワードを忘れた? アカウント作成
13572328 story
セキュリティ

「英単語の一部を規則的に記号に置き換えたパスワード」は安全ではない 53

ストーリー by hylom
結局文字長を長くするのが一番なのよね 部門より

日テレNEWS24で「安全なパスワードの作り方」として安全でないパスワードの作り方を紹介していたことが話題になっている

紹介されていたのは、「アルファベットの代わりに似ている記号や数字を使う」というもの。「情報提供:トレンドマイクロ」となっているが、昨今ではこのような手法を考慮した総当たり攻撃が行われているため、あまり意味はないという。これに対しセキュリティ研究者の高木浩光氏は正しい「安全で覚えやすい」パスワードのつけ方として、「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」を提案している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by akiraani (24305) on 2018年04月10日 13時51分 (#3390976) 日記

    文字種類での複雑化は覚えやすい規則性を持たせたらほとんど意味がない、ということなんだろうな。

    そもそもの話をすると「覚える」ことに依存してるというのが一番不味いんじゃないかという気がする。
    結局のところ、複数のサービスで同じIDやパスワードを使い回す問題も「覚えきれないから」そうなってしまうわけで、記憶に頼らない本人認証の仕組みを技術的に実現すべきなんだろうね。

    • 複雑化はいかんというのは、文字数短縮とセットになるからです。探索空間は桁数に比例して指数的に拡大するので、小文字のみ小文字数字のみとして
      文字種が1/2になろうが1/4になろうが、桁数を12文字から8文字に減らされるといったことと比べれば大差ないわけです。えーと、8文字英数大小記号と
      11文字英数小文字のみだと11文字の方が強いだかなんだか。

      (2^7)^8 = 7.2057594e+16
      (24+24+10)^11 = 2.4986644e+19

      16文字まで増やしてしまうと、もう8桁と比べたら記号も制御文字も入れたって勝ち目がありませんね。圧倒的に英小文字のみの方が強くなります。

      (24)^16 = 1.2116575e+22

      記憶に頼らない本人認証の仕組みが必要だというのは全く正しいご意見です。実際にいくつか規格もあります……ただ、どうにも流行らんのですね。

      親コメント
      • by Anonymous Coward

        みんなが16桁にするもんだから攻撃側も16桁決め打ちできて、最終的に13-15桁のパスワードが強くなったりするオチ

    • by Anonymous Coward on 2018年04月10日 15時27分 (#3391046)

      今回の話って所謂 LEET (L33T) のことですね。
      パスワード強度の測定ツール zxcvbn で測定してみると、
      ちょっとした文字列でも LEET に引っかかって
      まぁ頭で憶えられるようなパスワードを考えるのは無理臭いということを実感しました。

      @ -> a、$ -> s や 0 -> o はよく知られていますし、1/! -> i,l くらいならまだしも、
      7 -> t とかほとんどこじつけでしょって感じ。

      親コメント
    • by Anonymous Coward on 2018年04月10日 15時44分 (#3391056)

      攻撃側はプログラムで自動的にやってるから、「覚える」という行為はしていないと思う。
      だから「覚えやすいか否か」は、攻撃の成否とは余り関係ないんじゃないかなぁ。
      「辞書に載っている単一の単語」が駄目なだけで。

      「覚えやすい長いフレーズ」なら問題なくて、その一例が高木氏の言う辞書に載っている
      単語を3つ繋げたものなんだと思う。
      他には好きな歌の歌詞とか、兎に角「長く」ってことが重要なんじゃないかと。

      パスワード使いまわし問題だって、間にサイト名を捩ったフレーズを挟むルールにしておけば
      自動的な攻撃については回避できるし。

      親コメント
      • by Anonymous Coward

        だから「パスワード」じゃなくて「パスフレーズ」という単語もありますね。

        「辞書に載ってる単語を複数繋げる」テクニックは随分昔に見た事ある。
        たぶん、セキュリティ業界では古典テクニックの一つじゃないかな。

        実際にはパスワードでも忘れる人がいることと、パスワードで十分なシステムが
        多いこと。必用だったら二段階認証を導入すればすむことなどから、
        あまり重要な技術でもないんだろう。

        • by Anonymous Coward

          「辞書に載ってる単語を複数繋げる」と言っても、よくあるフレーズにしたら台無しだよ。
          ランダムに選ぶってところがキモでしょ。

          だから「パスフレーズ」という呼び名も誤解を与えるからよくない。

    • by Anonymous Coward

      >記憶に頼らない本人認証の仕組みを技術的に実現すべき

      生体認証系だと偽造されたからといって変更が効かないし、物だとなくすし、いろいろ難しいでしょうねぇ・・・

      • by Anonymous Coward

        間違えている人が多いけど、生体認証で利用されれる指紋や虹彩はIDであって、パスワードがわりに使うものではありません。

    • by Anonymous Coward

      記憶に頼らない本人認証の仕組みを技術的に実現すべきなんだろうね。

      やはり付箋を貼っとくのは正しかったのだな!(オイマテ

      • by Anonymous Coward

        そうだね、ドームが見上げ入道に襲われても安心だし。

        # ニッケル カナちゃん推しです

      • by Anonymous Coward

        付箋の文字をカメラで読み取って自動入力されればなお良し。

  • by Anonymous Coward on 2018年04月10日 13時52分 (#3390977)

    >「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」
    戸+毛+尾
    →tokeo

    短い

    • by Anonymous Coward

      マジレスすると、5万語の辞書から3つの語を選ぶと47bitくらいの情報量ですが、
      「tokeo」だと24bitくらいですから全然ダメですよ。
      後者だと総当り攻撃への耐性が1000万倍くらい弱い。
      「戸毛尾」でも全部常用漢字なわけで33bitくらいしかなく、10000倍くらい弱い。
      5万字載ってる漢字字典から(常用漢字とかに限定せず)ランダムに3字選ぶならいいですが。

      • by Anonymous Coward

        なににマジレスしてるんが知らんが、
        「ランダムに3つ選んだら短くなることもあるよねwうはw弱いwwランダムに選ぶってギャンブルww」
        って話なんだから、tokeoが全然ダメなことぐらいわかってるだろ…

        # 結局長さが正義よ

        • by Anonymous Coward

          ほとんどネタにマジレスの世界だけど、

          > # 結局長さが正義よ

          情報量が問題なので、たとえ3文字であろうと、康熙字典からランダムにとってくるならOKだし、
          ランダムに選ぶこと自体はむしろ望ましい属性でしょう。

      • by Anonymous Coward

        5万語の辞書から3つの語を選ぶと47bitくらいの情報量ですが、

        「5万語の辞書」から「3つ」の「語」ですと
        1つしか無いので解無しですェ

        # 素でこんな回答が来ることも想定しないと一般普及は無理かも

      • by Anonymous Coward

        そのぐらいの強さでいいなら15桁の数字だけのパスワードのほうが楽でいいな。
        数字+英大文字+英小文字まで範囲を広げるならたったの8文字で済む。

        そんな弱いパスワードを使ってホントにいいんだろうか?

    • by Anonymous Coward
      50000の三乗で1.25e+14回の総当りでサクッと見つかりそうな気がするのはオレだけですかね。
      • by nnnhhh (47970) on 2018年04月10日 14時29分 (#3390998) 日記

        使った辞書が広辞苑だとわかっていればそうでしょうな
        「サクッと」でもない数な気もしますが
        なおリンク先によればオフライン攻撃が想定されるときは5個推奨、だそうです

        親コメント
        • by nemui4 (20313) on 2018年04月10日 15時00分 (#3391027) 日記

          >なおリンク先によればオフライン攻撃が想定されるときは5個推奨、だそうです

          もしかして、そういうのって個数固定にしないほうが強度有りますか。
          3<=n で覚えられる限りとか。

          #落語でおなじみの長大語… そのままだとバレやすいか。

          親コメント
          • by Anonymous Coward on 2018年04月11日 5時13分 (#3391381)

            現在DB等への保存時に一般的に利用されていると思われるBcryptの場合、
            仕様上72オクテット(パスワードの場合は事実上72文字)までしか受け入れられないことに注意が必要です。

            それより長い入力にどのように対応しているかはシステム次第ですが、
            73オクテット目以降を切り捨てている可能性が高いです。

            (ほかの対応方法としては、72オクテットまでに入力を制限する、
            別のハッシュ――例えばSHA-2-512――を通した結果をBcryptにかけるなどの場合もあります)

            73オクテット目以降を切り捨てている場合、72オクテットまで正しく入力すれば、
            73オクテット目以降は何であってもverifyが通ります。

            親コメント
      • by Anonymous Coward

        単語3つというフォーマットが決まってればそうだけど、実際にはアンダーバーで区切るやつとかハイフンで区切るやつとかキャメルケースで区切るやつとかそもそも区切らない奴とかいろんなパターンがありえるから、単純に50000の三乗とはいかないと思う。

    • by Anonymous Coward

      胃+兎+尾
      →iuo

  • by Anonymous Coward on 2018年04月10日 14時30分 (#3391001)

    高木浩光式でいくぞー

    「Error パスワードには記号を混ぜてください」

    • by Anonymous Coward

      そろそろマルチバイトな文字もパスワードに使えるよう啓蒙してほしい=サービス側も受け入れてほしい。
      日本中国あたりはこれだけで世界有数のパスワードクラック耐性が持てる。

      • by nemui4 (20313) on 2018年04月10日 15時02分 (#3391031) 日記

        >そろそろマルチバイトな文字もパスワードに使えるよう啓蒙してほしい=サービス側も受け入れてほしい。

        齊藤斉藤齋藤

        親コメント
        • by o-nikko (46233) on 2018年04月10日 18時13分 (#3391133) 日記

          >齊藤斉藤齋藤

          この苗字のオリジナルは「斎藤」だそうなので、是非使っ・・・

          ・・・あっ、パスワードだから特徴のあるものを敢えて避けたのですね、流石です。

          親コメント
      • by Anonymous Coward on 2018年04月10日 14時49分 (#3391020)

        かな漢字変換で画面表示する必要があり後ろから覗かれ放題とか、
        よく似た異字体や全角半角によって本人でもログイン不能の謎パスワードとか、
        マルチバイトだろうと短かければ総当り、辞書攻撃で陥落とか、
        欠点が多い割には、そこまで効果ないんだよなあ。

        結局長さが一番の強さなんだよ。漢字1文字書くより英数3文字の方が圧倒的に強い。

        親コメント
        • by Anonymous Coward on 2018年04月10日 17時31分 (#3391112)

          それにクラウド型のIMEを利用していると,サーバに変換情報としてパスワードが送られる事案が発生しそう(している?)

          親コメント
          • by Anonymous Coward

            予測変換、自動登録された辞書からパスワードが流出

            • by Anonymous Coward

              やっぱ漢は漢字直接入力だよな。マルチバイトの文字に対応していなくてもパスワードとして使える。

              • by Anonymous Coward

                和文タイプライター型キーボードまだ〜

      • by Anonymous Coward

        希望

        こんな弱いパスワードにしとくから簡単に乗っ取られるわけだ

        • by Anonymous Coward

          イルカは私のパスワードですから使わないでください

  • 社内の一部システムが「16文字以上かつローマ字、数字、記号すべてを使わないとNG」しかも3か月毎に変えろになってからは、一時期「OreyoriTsuyoiYatsuniAiniiku-2」とかにしてたわw 今は秘密☆
  • by Anonymous Coward on 2018年04月10日 15時10分 (#3391036)

    高光氏の方法を一般人に使わせた場合、真にランダムに単語が選択されるとは思えない。
    耳慣れた単語が選ばれて実際にはずっと脆弱になると思う。

    • by Anonymous Coward

      まあそこは例えてみれば
      「さくらさいた」と「いけぬまうみ」のどっちが強い?みたいな話だから。
      「意味を持つ文章」よりは「関連があってもバラバラの3単語」の方がまだマシかも、的なことなんじゃないかと。
      (これ以上ランダム性を入れると記憶しづらくなる、みたいな判断で)
      あまり細々言うと「さくら銀行だから『sakuraginkokouza』にしよう」みたいなことになりかねない、とかそんな感じで(考えてくとキリがない)

  • by Anonymous Coward on 2018年04月10日 15時14分 (#3391040)

    パスワードを口に出せない病とパスワードを書き出せない病の合併症に苦しんでいます。
    時々パスワードを申告せよという無理無体があるけど、直接そこの端末に行って自分でタイプするしかない。

    というわけで、パスワードの話題は自動的にブロックがかかって語りにくい。

    長い文章を暗唱しながら頭文字をパスワードにするとかって偏りやすいのかな。
    「A long time ago in a galaxy far far away」で「Altaiagffa」とか。
    「There ai'nt no suach thing as a free lunch」で「Tanstaafl」とか。
    #もしドンピシャな人がいたらごめん。

    • Re:職業病? (スコア:5, おもしろおかしい)

      by Anonymous Coward on 2018年04月10日 18時57分 (#3391161)

      職場ですぐに管理者のパスワードを教えろと言ってくる奴がいるので、この前立ち上げた共用のマシンの root のパスワードを

      「omaenihazettainioshienai」

      にしてある。

      この前教えろと言われたから「おまえには絶対に教えない」ときちんとパスワードを教えたのにヘソ曲げちまった。

      親コメント
    • by nnnhhh (47970) on 2018年04月10日 16時48分 (#3391088) 日記

      十分に長いのが何より強いので、頭文字だけ入れるぐらいなら全部入れたほうがいいですよ
      長さに制限があるとつらいですが、いまどきそんなHash取ってないみたいなサイトは…ない…よね…?

      親コメント
    • by Anonymous Coward

      頭文字だとどうだか知らんが、普通の英文中だと「e」の出現頻度が一番多いんだっけ?

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...