パスワードを忘れた? アカウント作成
13695785 story
セキュリティ

パスワードで重要なのは記号を含むことよりも長くすること 118

ストーリー by hylom
サービス側も長いパスワードを利用できるようにしましょうね 部門より

JPCERT/CCが行っているSTOP! パスワード使い回し!キャンペーン2018では、パスワード使い回しの危険性とともに「安全なパスワードの条件」も提示されている。この条件として「パスワードに記号を使う」ことを必須としていないことが方針転換だと話題になっている

提示されている「安全なパスワードの条件」は次の通り。

  • パスワードの文字列は、長めにする(12文字以上を推奨)
  • インターネットサービスで利用できる様々な文字種(大小英字、数字、記号)を組み合わせると、より強固になる
  • 推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける
  • 他のサービスで使用しているパスワードは使用しない

この理由についても説明されており、結局のところ記号を使って覚えやすさを損なうよりは、単純に文字数を増やした方がパスワード強度が高くなるということだそうだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年08月28日 19時04分 (#3470016)

    いまだに12文字制限のあるとこ(ゆうちょとか)、さらに8文字制限のクレジットカード系とかほんと勘弁してほしい。

    • by Anonymous Coward

      記号入力必須なのに、特定の記号以外は入力制限がある
      (いまどき、SQL文でも直書きしてるの?)とかもやめてほしい。

      • by albireo (7374) on 2018年08月28日 21時34分 (#3470101) ホームページ 日記

        たいていの文字がunicodeな時代なのに「ASCIIにマップされてる記号のみ有効」もけっこう理不尽だし、かといってunicodeに採用された文字なら全部OKにするも非現実的。
        英数字のみというのは人間にもわかりやすい上に入力端末などの言語環境に左右されずに済むというよさがある。

        --
        うじゃうじゃ
        親コメント
        • by Patilise (45974) on 2018年08月29日 17時31分 (#3470628) 日記

          逆に「絵文字のみのパスワード」も面白いかも。英数字よりもバリエーションが多く、辞書攻撃用の辞書も作りにくい。

          # デメリットも割とあるのでエイプリルフールネタ向きかな

          親コメント
      • Webアプリケーションファイアウォールってのがあってだな、
        記号有りにして、例えば「t' OR 't' = 't」みたいなパスワード使われてしまうと誤検出が発生してしまう。

        誤検出を防ぐには、当該ページ(例えば login.php への POST)に対してWebアプリケーションファイアウォールを無効にするしかなくなる。
        すると、万が一SQLインジェクションとかOSコマンドインジェクションとかの脆弱性があっても、Webアプリケーションファイアウォールが作動しなくなってしまう。

        なので、

        ・Webアプリケーションファイアウォールによって脆弱性があった場合にも悪用を防げる(場合がある)ことのメリット
        ・記号を入れた分、ユーザのパスワードが強固になることのメリット

        のどちらかを天秤にかけることになる

        パスワードに記号を禁止してもユーザは強固なパスワードを指定することは可能(その分長くすればいいだけ)だし特定のユーザのパスワードが破られてもシステム全体には影響しないし会社としてのダメージは少ない
        しかし、SQLインジェクションでもされたら会社は大損害でイメージもがた落ち

        なので、金融系とかクレジットカード系など、安全性が重視されるシステムほど、パスワードへの記号の使用は禁止して、Webアプリケーションファイアウォールで安全性を担保している

        親コメント
        • by Anonymous Coward

          金融系とかクレジットカード系など、安全性が重視されるシステムほど、クライアントサイドでのハッシュとか、説明が難解な方法が拒絶されて、セキュリティが低下しがち…?

          • by Anonymous Coward

            > クライアントサイドでのハッシュ
            そんなことの為にJavaScript必須にするのはやめてくれ

          • by Anonymous Coward

            そういうことされるとパスワードマネージャの種類やバージョンによっては自動入力やログインが上手くいかなくなって不便なんだよね。

      • by Anonymous Coward

        サマータイムの話でたくさんいた
        「テストしてないから保証できない」
        「発注元が値切るから仕方がない」
        ってやつじゃない?

        • by Anonymous Coward

          激しく同意。
          仕様を無駄に複雑にする必用なぞどこにもない。
          99.99%動くからといって、テストがなくなるわけじゃないし、将来実装が変更されない保証もない。

          仕様を無駄に複雑にして、工数を増やして現場を疲弊させる経営者や政治家は大馬鹿者だと、
          ハッキリ言っておきたい。

          それに一度でも公開された仕様は、あとで不具合がでたからと言って簡単には変更できない。
          特にパスワード系は厄介。

          • by Anonymous Coward

            「英数記号を必ず1文字使用すること(ただし使用できる記号は...)」
            と(中途半端に)記号を入力できる+記号は必ず使用しなければならないという時点で、
            無駄に複雑とはならないのですか?

    • by Anonymous Coward
      某プロバイダの某システムだけど、
      最初に設定するパスワードは8文字以下という制限があり、
      そのパスワード変更時には8文字以上という制限があるという、不可解な仕様です。
      • by Anonymous Coward on 2018年08月28日 20時34分 (#3470070)

        8文字未満だと受け付けないサイトでも、8文字超じゃないと受け付けないサイトでも、同じパスワードが使いまわせて便利
        どんなサイトにも使えるパスワードというのが最強で便利です
        そんな俺様のパスワードは "OrePass8" です
        大文字・小文字・数字を全部含んでいるので今までこのパスワードが弱すぎると拒否されたことは一度もありません(つまり最強!)

        親コメント
      • by Anonymous Coward on 2018年08月28日 22時08分 (#3470112)

        20年くらい前、自分の使ってた草の根ISPではなぜかパスワード1024文字まで(ただし英字のみ)だった。

        Zyuugemuzyugemugokounosurikirekaizyarisuigyonosuigyoumatuunraimatufuuraimatukuunerutokoronisumutokoroyaburakouzinoburakouzipaipopaipoapiponosyuuringansyuuringannoguurindaiguurindainoponpokopiinoponpokonaanotyoukyuumeinotyousuke

        # たまにうろ覚えでトチってた当時落研落第生

        親コメント
    • by Anonymous Coward

      使ってるハッシュ関数の仕様によって先頭N文字まで使わないとかあるからそんなしようになってるんです()
      恐らくそういったサイトのハッシュ関数は既に古いのだと思います・・・

  • 一期一会
    日経どうとかいうわりとどうでもいいサイトのほーで
    なにを入力するか気をつけたらいいかもしれず

  • by Anonymous Coward on 2018年08月28日 19時28分 (#3470023)

    motionsubaru360exporttanuki(motion/subaru360/export/tanuki)なんて辞書にある言葉やネット上で容易かつ大量に収集できるようなありきたりな言葉を連結しただけのパスワードでも大丈夫なのか?

    • たとえば…

      - 63種類の文字から8文字 = 63^8 = 2.5*10^14

      - 1万種類の単語から4語 = 1万^4 = 1.0*10^16

      ちゃんとランダムに選んだ語ならそれなりに強いんじゃないでしょうか。

      親コメント
      • by Anonymous Coward

        各ビットをランダムに選んだ語ですか?
        そりゃ強いでしょうね
        覚え溶ける気がしませんが

      • by Anonymous Coward

        なんか変な議論じゃない?

        そりゃランダムに選べば強いのは当然で、ユーザーが1万語もの単語をランダムに選んでくれる前提なら、
        英数字のパスワードだってランダムに選んでくれるだろうし、それが期待できるならそもそも必要以上に長くする必要もなく、こんな啓蒙活動も不要だろう。

        結局、その人の語彙能力の範囲の単語が選ばれることが大部分と思われるし、日常生活で利用頻度の多い単語がパスワードでも利用頻度が高いだろうし、
        おそらく言語として意味のある単語が、意味のある順序で並べられる傾向が生じるだろう。
        そのようなパスワードが、今のパスワードの作り方と比較して、より強固になるといえるどうかは未知数では?

        個人的にはどっちもどっちな気がしていて、何らかの実験なりフィールドワークなりで検証して結論を出すべき事項に思える。

    • パスフレーズという奴すね。人力で生成すると語が限定されるのでジェネレータ使った方が良いとは思う。

      パスフレーズ vs. パスワード Part 1 [microsoft.com], Part 2 [microsoft.com], Part 3 [microsoft.com]

      数学と論理が 5 または 6 語のパスフレーズは、完全にランダムな 9 文字のパスワードとおおよそ強度は同じであることを示しているように思えます。ほとんどの人にとって、完全にランダムな 9 文字のパスワードよりも 6 語のパスフレーズを覚える事の方が容易であり、その点においてパスフレーズはパスワードよりも優れているように思われます。

      親コメント
      • by Anonymous Coward

        >人力で生成すると語が限定されるので
        たしかに太古の昔、MoonMercuryMarsとかMoonPrismPowerMakeUpという
        パスフレーズがいたるところで量産された事がありましたね。

  • by Anonymous Coward on 2018年08月28日 19時29分 (#3470024)

    20年前からまったく変わらない議論だよね。
    パスワードに漢字も使えるようにしようとかならないのかな。パスワード入力用のコントロール類も対応できるように働きかけたりしてさ。

    • パスワードに漢字も使えるようにしようとかならないのかな。

      漢直 [wikipedia.org]を覚えたらすぐにでも使えるぞ。
      忘れた時のために、パスワードリスト(それやっちゃマズイのは分かっているが)に漢字で書いてあったとして、もしそれが何らかの理由で流出しても、漢字の読みじゃないから通らない。
      すると、書いてある文字列はパスワードリマインダとして解釈する可能性が高いので、更に時間稼ぎになる。

      一応、弱点も書いておく。
      ・パスワード設定可能文字に記号(ホームポジション周辺に配置されている";/.,"4字)が排除されているサイトに出くわすと使える漢字が制限される。
      ・スマホしかない状況でパスワードの入力を促されると、両手を前に出したまま硬直する。

      親コメント
    • by Anonymous Coward

      >パスワードに漢字も使えるようにしようとかならないのかな。
      それが良くないってのも、20年(以上)前からありそうな議論だよね……

      IMEで変換しなきゃならないから、パスワード入力を[****---]とかで隠すんじゃなくて
      見える形で入力することになるので、のぞき見に弱い。
      かといって ** で隠したら変換モードが間違ってたりしても分かり難い等々。

      けっきょくセキュリティ上は文字種を増やすことはメリットがないから、
      IMEを入れたせいで「あれ?なんでログインできない」「なにもしてないのに壊れた」って
      相談を増やしてサポートセンター困らせるより、英数字オンリーで文字数増やした方が
      良いってのが今回の結論でせう。

      #タッチパネル使って、手書きサインでログインとか、筆圧も感知するとかって話は一部にあったかな。
      #あとやっぱ忘れちゃなんねえ指紋認証。既に使ってる機械も多し。

      •  20世紀末のシステムだと、パスワード欄は通常表示されていたと思うんだけど、今世紀に入ってから入力を「*」とかで隠すようになったよね。
         で、最近、またパスワード入力欄の内容を表示できるシステムがちらほら見かけるようになってきた。
         これって、スマホみたいな入力システムを考慮した結果なんでしょうかね。

        親コメント
      • by Anonymous Coward

        手書きとか筆圧とかは生体認証の範疇だろうか。
        スタイラスペンで何か書かせてるのはダミーで実はペンが指紋採ってるとか。

        --
        face idに「※ただしイケメンに限る」言われるのでAC

    • by Anonymous Coward

      それではみんなでパスワードを「希望」とするだろうから一発でアウト。
      ここは漢字なんて甘い事を言わずにUTF-128で入力出来るようにすべきであろう。

    • by Anonymous Coward

      漢字はキーボード操作の情報量を減らしてるからむしろ良くない。
      ここは文字の入力というパスワードの概念を変えてキーボード操作での認証と考えて、F1-F12とか任意の同時押しとかも含めてパスワードとみなすのがいいんじゃないか?
      さらにマウス操作や選択(漢字入力で行ってる事)も含めるとさらに強力。

    • by Anonymous Coward

      漢字が仕えるかどうかは符号化をしない場合。
      パスワード用文字列を符号化すればアルファベットだけでバイナリ表現も可能だし、そうすれば漢字用コードも知らずうちに使うくらいになる。

  • by Anonymous Coward on 2018年08月28日 19時51分 (#3470040)

    fuzisanrokunioomunakuとか

  • by Anonymous Coward on 2018年08月28日 20時04分 (#3470047)

    手打ちでパスワード打ちこむ暇人がいるのか?
    みんなコピペだろ

    • by Anonymous Coward on 2018年08月28日 21時10分 (#3470087)

      稀にあるペースト禁止は、本当にやめて欲しい。
      確認欄へのコピペを禁止するなら、コピーを禁止すればいいのに、なんでペーストを禁止するんだよ。
      アカウント作成時のペースト禁止は百歩譲っていいとしても、ログイン時のペースト禁止はどういうリスクを想定してるんだ。。。
      # Z〇Z〇T〇WNとかね

      親コメント
    • by Anonymous Coward

      最近はパスワードマネージャーを使っているのでコピペすらしていない

    • by Anonymous Coward

      コピペできないようにされてる

  • by Anonymous Coward on 2018年08月28日 20時21分 (#3470065)

    Google AuthenticatorとかMFAできるとこは全部それでかばー
    あとはパスワードジェネレーターで同じパスワードを使わないってのは一番っすかね。

    サーバー側でパスワード盗まれる場合があるのでどうしてもパスワード自体使いまわすってのがもう危険な世かな。

    • by Anonymous Coward

      それだとパスワードジェネレータ・パスワードマネージャーが単一障害点になるから共通部分を使いまわす方がいいと思う。

  • by Anonymous Coward on 2018年08月28日 20時29分 (#3470067)

    法則性があると推測される可能性があるけど
    絶対辞書に載ってない文字列を量産できる

  • by Anonymous Coward on 2018年08月28日 21時51分 (#3470108)

    文字列中に1つか2つ記号を入れるだけで強度が増すのだからかなりコスパがいい。
    それよりも大文字小文字と数字を強制してくるのがうざい。
    大小文字の違いは覚えづらい読みづらい打ちづらいで最悪。
    数字はそれよりマシだけど、文字種が少ないし推測されやすそう(なんかありがちな語呂合わせに流れやすい)でお得感が弱い。

    • by Anonymous Coward
      ありがちなのが"_08"みたいなアンダースコア+2桁数字だったりして
typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...