パスワードで重要なのは記号を含むことよりも長くすること 118
ストーリー by hylom
サービス側も長いパスワードを利用できるようにしましょうね 部門より
サービス側も長いパスワードを利用できるようにしましょうね 部門より
JPCERT/CCが行っているSTOP! パスワード使い回し!キャンペーン2018では、パスワード使い回しの危険性とともに「安全なパスワードの条件」も提示されている。この条件として「パスワードに記号を使う」ことを必須としていないことが方針転換だと話題になっている。
提示されている「安全なパスワードの条件」は次の通り。
- パスワードの文字列は、長めにする(12文字以上を推奨)
- インターネットサービスで利用できる様々な文字種(大小英字、数字、記号)を組み合わせると、より強固になる
- 推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける
- 他のサービスで使用しているパスワードは使用しない
この理由についても説明されており、結局のところ記号を使って覚えやすさを損なうよりは、単純に文字数を増やした方がパスワード強度が高くなるということだそうだ。
文字数制限 (スコア:1)
いまだに12文字制限のあるとこ(ゆうちょとか)、さらに8文字制限のクレジットカード系とかほんと勘弁してほしい。
Re: (スコア:0)
記号入力必須なのに、特定の記号以外は入力制限がある
(いまどき、SQL文でも直書きしてるの?)とかもやめてほしい。
Re:文字数制限 (スコア:2, 興味深い)
たいていの文字がunicodeな時代なのに「ASCIIにマップされてる記号のみ有効」もけっこう理不尽だし、かといってunicodeに採用された文字なら全部OKにするも非現実的。
英数字のみというのは人間にもわかりやすい上に入力端末などの言語環境に左右されずに済むというよさがある。
うじゃうじゃ
Re:文字数制限 (スコア:2)
逆に「絵文字のみのパスワード」も面白いかも。英数字よりもバリエーションが多く、辞書攻撃用の辞書も作りにくい。
# デメリットも割とあるのでエイプリルフールネタ向きかな
Webアプリケーションファイアウォールを知らないの? (スコア:1)
Webアプリケーションファイアウォールってのがあってだな、
記号有りにして、例えば「t' OR 't' = 't」みたいなパスワード使われてしまうと誤検出が発生してしまう。
誤検出を防ぐには、当該ページ(例えば login.php への POST)に対してWebアプリケーションファイアウォールを無効にするしかなくなる。
すると、万が一SQLインジェクションとかOSコマンドインジェクションとかの脆弱性があっても、Webアプリケーションファイアウォールが作動しなくなってしまう。
なので、
・Webアプリケーションファイアウォールによって脆弱性があった場合にも悪用を防げる(場合がある)ことのメリット
・記号を入れた分、ユーザのパスワードが強固になることのメリット
のどちらかを天秤にかけることになる
パスワードに記号を禁止してもユーザは強固なパスワードを指定することは可能(その分長くすればいいだけ)だし特定のユーザのパスワードが破られてもシステム全体には影響しないし会社としてのダメージは少ない
しかし、SQLインジェクションでもされたら会社は大損害でイメージもがた落ち
なので、金融系とかクレジットカード系など、安全性が重視されるシステムほど、パスワードへの記号の使用は禁止して、Webアプリケーションファイアウォールで安全性を担保している
Re: (スコア:0)
金融系とかクレジットカード系など、安全性が重視されるシステムほど、クライアントサイドでのハッシュとか、説明が難解な方法が拒絶されて、セキュリティが低下しがち…?
Re: (スコア:0)
> クライアントサイドでのハッシュ
そんなことの為にJavaScript必須にするのはやめてくれ
Re: (スコア:0)
そういうことされるとパスワードマネージャの種類やバージョンによっては自動入力やログインが上手くいかなくなって不便なんだよね。
Re:Webアプリケーションファイアウォールを知らないの? (スコア:1)
「ファイヤウォールがSQLインジェクション攻撃と誤認してアクセスをブロックしてしまう」ことを問題にしているのであって、ウェブアプリがSQLインジェクション対策されてるかどうかは無関係。
別のコメントみたいに「そんなファイヤウォールに頼るな」というツッコミは正当だけど、
プレースホルダとかエスケープ処理とか「SQLインジェクション対策しろ」というコメントはまったくの的外れ。
Re: (スコア:0)
サマータイムの話でたくさんいた
「テストしてないから保証できない」
「発注元が値切るから仕方がない」
ってやつじゃない?
Re: (スコア:0)
激しく同意。
仕様を無駄に複雑にする必用なぞどこにもない。
99.99%動くからといって、テストがなくなるわけじゃないし、将来実装が変更されない保証もない。
仕様を無駄に複雑にして、工数を増やして現場を疲弊させる経営者や政治家は大馬鹿者だと、
ハッキリ言っておきたい。
それに一度でも公開された仕様は、あとで不具合がでたからと言って簡単には変更できない。
特にパスワード系は厄介。
Re: (スコア:0)
「英数記号を必ず1文字使用すること(ただし使用できる記号は...)」
と(中途半端に)記号を入力できる+記号は必ず使用しなければならないという時点で、
無駄に複雑とはならないのですか?
Re: (スコア:0)
最初に設定するパスワードは8文字以下という制限があり、
そのパスワード変更時には8文字以上という制限があるという、不可解な仕様です。
パスワードは8文字ちょうどが最強 (スコア:1)
8文字未満だと受け付けないサイトでも、8文字超じゃないと受け付けないサイトでも、同じパスワードが使いまわせて便利
どんなサイトにも使えるパスワードというのが最強で便利です
そんな俺様のパスワードは "OrePass8" です
大文字・小文字・数字を全部含んでいるので今までこのパスワードが弱すぎると拒否されたことは一度もありません(つまり最強!)
Re: (スコア:0)
記号含んでないからサイトによっては拒否されるよ
Re:パスワードは8文字ちょうどが最強 (スコア:3, 参考になる)
自分が知る範囲では三菱UFJ銀行のパスワードが記号必須。
http://direct.bk.mufg.jp/taiken/KEIYAKU/2_10_1.html [bk.mufg.jp]
Re:文字数制限 (スコア:1)
20年くらい前、自分の使ってた草の根ISPではなぜかパスワード1024文字まで(ただし英字のみ)だった。
Zyuugemuzyugemugokounosurikirekaizyarisuigyonosuigyoumatuunraimatufuuraimatukuunerutokoronisumutokoroyaburakouzinoburakouzipaipopaipoapiponosyuuringansyuuringannoguurindaiguurindainoponpokopiinoponpokonaanotyoukyuumeinotyousuke
# たまにうろ覚えでトチってた当時落研落第生
Re: (スコア:0)
使ってるハッシュ関数の仕様によって先頭N文字まで使わないとかあるからそんなしようになってるんです()
恐らくそういったサイトのハッシュ関数は既に古いのだと思います・・・
どうせどこからか漏れるのだから (スコア:1)
一期一会
日経どうとかいうわりとどうでもいいサイトのほーで
なにを入力するか気をつけたらいいかもしれず
辞書にある言葉の連結 (スコア:0)
motionsubaru360exporttanuki(motion/subaru360/export/tanuki)なんて辞書にある言葉やネット上で容易かつ大量に収集できるようなありきたりな言葉を連結しただけのパスワードでも大丈夫なのか?
Re:辞書にある言葉の連結 (スコア:3)
たとえば…
- 63種類の文字から8文字 = 63^8 = 2.5*10^14
- 1万種類の単語から4語 = 1万^4 = 1.0*10^16
ちゃんとランダムに選んだ語ならそれなりに強いんじゃないでしょうか。
Re: (スコア:0)
各ビットをランダムに選んだ語ですか?
そりゃ強いでしょうね
覚え溶ける気がしませんが
Re:辞書にある言葉の連結 (スコア:2)
> 各ビットをランダムに選んだ語ですか?
これの意味が解らんのだがボケなのかしら
Re:辞書にある言葉の連結 (スコア:2)
あ、そういう…
的確な表現だ (スコア:1)
>覚え溶ける
文脈的に正しく思える。
Re: (スコア:0)
なんか変な議論じゃない?
そりゃランダムに選べば強いのは当然で、ユーザーが1万語もの単語をランダムに選んでくれる前提なら、
英数字のパスワードだってランダムに選んでくれるだろうし、それが期待できるならそもそも必要以上に長くする必要もなく、こんな啓蒙活動も不要だろう。
結局、その人の語彙能力の範囲の単語が選ばれることが大部分と思われるし、日常生活で利用頻度の多い単語がパスワードでも利用頻度が高いだろうし、
おそらく言語として意味のある単語が、意味のある順序で並べられる傾向が生じるだろう。
そのようなパスワードが、今のパスワードの作り方と比較して、より強固になるといえるどうかは未知数では?
個人的にはどっちもどっちな気がしていて、何らかの実験なりフィールドワークなりで検証して結論を出すべき事項に思える。
Re:辞書にある言葉の連結 (スコア:1)
パスフレーズという奴すね。人力で生成すると語が限定されるのでジェネレータ使った方が良いとは思う。
パスフレーズ vs. パスワード Part 1 [microsoft.com], Part 2 [microsoft.com], Part 3 [microsoft.com]
数学と論理が 5 または 6 語のパスフレーズは、完全にランダムな 9 文字のパスワードとおおよそ強度は同じであることを示しているように思えます。ほとんどの人にとって、完全にランダムな 9 文字のパスワードよりも 6 語のパスフレーズを覚える事の方が容易であり、その点においてパスフレーズはパスワードよりも優れているように思われます。
Re: (スコア:0)
>人力で生成すると語が限定されるので
たしかに太古の昔、MoonMercuryMarsとかMoonPrismPowerMakeUpという
パスフレーズがいたるところで量産された事がありましたね。
大昔から変化なし (スコア:0)
20年前からまったく変わらない議論だよね。
パスワードに漢字も使えるようにしようとかならないのかな。パスワード入力用のコントロール類も対応できるように働きかけたりしてさ。
щ(゚д゚щ)こっちゃ〜来い! щ(゚д゚щ)こっちゃ〜来い! (スコア:1)
パスワードに漢字も使えるようにしようとかならないのかな。
漢直 [wikipedia.org]を覚えたらすぐにでも使えるぞ。
忘れた時のために、パスワードリスト(それやっちゃマズイのは分かっているが)に漢字で書いてあったとして、もしそれが何らかの理由で流出しても、漢字の読みじゃないから通らない。
すると、書いてある文字列はパスワードリマインダとして解釈する可能性が高いので、更に時間稼ぎになる。
一応、弱点も書いておく。
・パスワード設定可能文字に記号(ホームポジション周辺に配置されている";/.,"4字)が排除されているサイトに出くわすと使える漢字が制限される。
・スマホしかない状況でパスワードの入力を促されると、両手を前に出したまま硬直する。
Re: (スコア:0)
>パスワードに漢字も使えるようにしようとかならないのかな。
それが良くないってのも、20年(以上)前からありそうな議論だよね……
IMEで変換しなきゃならないから、パスワード入力を[****---]とかで隠すんじゃなくて
見える形で入力することになるので、のぞき見に弱い。
かといって ** で隠したら変換モードが間違ってたりしても分かり難い等々。
けっきょくセキュリティ上は文字種を増やすことはメリットがないから、
IMEを入れたせいで「あれ?なんでログインできない」「なにもしてないのに壊れた」って
相談を増やしてサポートセンター困らせるより、英数字オンリーで文字数増やした方が
良いってのが今回の結論でせう。
#タッチパネル使って、手書きサインでログインとか、筆圧も感知するとかって話は一部にあったかな。
#あとやっぱ忘れちゃなんねえ指紋認証。既に使ってる機械も多し。
パスワード欄のマスク処理 (スコア:1)
20世紀末のシステムだと、パスワード欄は通常表示されていたと思うんだけど、今世紀に入ってから入力を「*」とかで隠すようになったよね。
で、最近、またパスワード入力欄の内容を表示できるシステムがちらほら見かけるようになってきた。
これって、スマホみたいな入力システムを考慮した結果なんでしょうかね。
Re: (スコア:0)
手書きとか筆圧とかは生体認証の範疇だろうか。
スタイラスペンで何か書かせてるのはダミーで実はペンが指紋採ってるとか。
--
face idに「※ただしイケメンに限る」言われるのでAC
Re: (スコア:0)
それではみんなでパスワードを「希望」とするだろうから一発でアウト。
ここは漢字なんて甘い事を言わずにUTF-128で入力出来るようにすべきであろう。
Re: (スコア:0)
漢字はキーボード操作の情報量を減らしてるからむしろ良くない。
ここは文字の入力というパスワードの概念を変えてキーボード操作での認証と考えて、F1-F12とか任意の同時押しとかも含めてパスワードとみなすのがいいんじゃないか?
さらにマウス操作や選択(漢字入力で行ってる事)も含めるとさらに強力。
Re: (スコア:0)
漢字が仕えるかどうかは符号化をしない場合。
パスワード用文字列を符号化すればアルファベットだけでバイナリ表現も可能だし、そうすれば漢字用コードも知らずうちに使うくらいになる。
ローマ字だと辞書アタックできないんじゃね? (スコア:0)
fuzisanrokunioomunakuとか
Re:ローマ字だと辞書アタックできないんじゃね? (スコア:2, おもしろおかしい)
僕のパスワードを晒さないで!
Re: (スコア:0)
非ラテン言語でもメジャーな単語は攻撃用辞書にありそう。
別に何文字だろうと (スコア:0)
手打ちでパスワード打ちこむ暇人がいるのか?
みんなコピペだろ
Re:別に何文字だろうと (スコア:1)
稀にあるペースト禁止は、本当にやめて欲しい。
確認欄へのコピペを禁止するなら、コピーを禁止すればいいのに、なんでペーストを禁止するんだよ。
アカウント作成時のペースト禁止は百歩譲っていいとしても、ログイン時のペースト禁止はどういうリスクを想定してるんだ。。。
# Z〇Z〇T〇WNとかね
Re: (スコア:0)
最近はパスワードマネージャーを使っているのでコピペすらしていない
Re: (スコア:0)
コピペできないようにされてる
パスワードじゃないけどMFAつかえ (スコア:0)
Google AuthenticatorとかMFAできるとこは全部それでかばー
あとはパスワードジェネレーターで同じパスワードを使わないってのは一番っすかね。
サーバー側でパスワード盗まれる場合があるのでどうしてもパスワード自体使いまわすってのがもう危険な世かな。
Re: (スコア:0)
それだとパスワードジェネレータ・パスワードマネージャーが単一障害点になるから共通部分を使いまわす方がいいと思う。
pasuwaud0 (スコア:0)
法則性があると推測される可能性があるけど
絶対辞書に載ってない文字列を量産できる
記号はいい (スコア:0)
文字列中に1つか2つ記号を入れるだけで強度が増すのだからかなりコスパがいい。
それよりも大文字小文字と数字を強制してくるのがうざい。
大小文字の違いは覚えづらい読みづらい打ちづらいで最悪。
数字はそれよりマシだけど、文字種が少ないし推測されやすそう(なんかありがちな語呂合わせに流れやすい)でお得感が弱い。
Re: (スコア:0)
Re:何をパスワードにしていいかわからんと言われたので (スコア:2)
初恋の人の名前とかだと忘れないし人に言わないので、
追加するのも良いと思います
Re:もっと重要なこと (スコア:2)
スマホを頻繁にお使いでしたら、
スマホロックをパスワードにしてしばらく使ってると多少無理目な奴でも覚えられますよ
やっぱ繰り返しですね