パスワードを忘れた? アカウント作成
14126075 story
アメリカ合衆国

「パスワードは複雑さより長さが大切」 FBIが指南 70

ストーリー by hylom
現実的な答え 部門より

FBIの技術部門が、パスワードやパスフレーズを使ったセキュリティ向上のための手法を解説しているITmedia)。

ここで推奨されているのが、長いパスワードを使うという手法。短く複雑なパスワードは覚えにくいため、それよりも複数の単語から構成される長いパスワードを使う方が良いという。その長さは少なくとも15文字で、その中には辞書に載っているような単語が含まれていても問題ない。また、複数の関連性のない単語を入れるとより良いそうだ。

なお、ここではNIST(米国立標準技術研究所)による安全なパスワードに関する次のような提案も紹介されている。

  • 15文字以上のパスワードを必須とする。大文字/小文字、特殊文字の混在を必須にする必要はない
  • ネットワークへの不正侵入が発生したという場合を除き、パスワードを強制的に変更させる必要はない
  • 辞書に載っているような単語や「安全でないパスワード」の使用は禁止
  • 一定数のログイン失敗に対しユーザーアカウントをロックするような仕組みを導入しているシステムもあるが、これはサービス拒否攻撃につながるため行うべきではない
  • パスワードの「ヒント」は許可しない
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • タイトルオンリー

    • by Anonymous Coward

      そう。「もう解読できないから諦めようぜ」と、サボる口実になるのだ。

    • by Anonymous Coward

      > 一定数のログイン失敗に対しユーザーアカウントをロックするような仕組みを導入しているシステムもあるが、これはサービス拒否攻撃につながるため行うべきではない

      なんか、ここ引っ掛かりますね。
      スマホではほとんどが数字6桁だけのパスコードですが、一定数のログイン失敗でログインできなくなり、そのシステムをFBIとかが解除するのに苦労していたと思うのですが。
      それはWebサービスじゃないかゃら拒否攻撃がしにくいというのは尤もだけど、Webでも対処方法を考えられる気がするんですよね。(私には考えられないけど)

      • by Anonymous Coward

        スマホは通常、不特定多数が触れないし、一定時間経過すれば自動でロック解除されるでしょう。
        それでも、いたずらで47年間もロック [rocketnews24.com]されて平気な人は少ない。

        世の中、パスワード失敗でアカウントロックするのは良いけど、電話でロック解除どころか、パスワードリセットするみたいなソーシャルハックの入り口を作る所もあります。
        ロックアウトするのは良いけど、「ロックアウト機能」が悪用された場合の対処手段や、ロックアウトからの回復手順に適切な手順が設計・構築・運用されているのかは要注意だと思います。
        そっちから攻めたら秘密の質問みたいに実は簡単に突破できるみたいなパターンが有り得るので。

  • by kmc55 (39216) on 2020年03月03日 17時03分 (#3772457) 日記

    あまり書かれてないけど、ローマ字で日本語を書くほうが、字数も稼げて、(外国人から)意味不明になりやすいと思ってます。

    pasuwa-dohahimitsudesukasoudesuka

    みたいな方が、英単語の組み合わせより強く、そして、速く打てるという。
    (まだ手で打ってんのか、という指摘はあるかもですが、なんのかんのあるんですよ)

    • by Anonymous Coward

      昔、やたらと長い(15文字とか20文字以上)パスワードを要求してくるシステムでは、
      自宅の住所から途中の文字を削ってローマ字にしていたな。

      〇〇(市)△△区□□1-1-1とか〇〇市(△△区)□□1-1-1とか(カッコの部分を削る)

    • by Anonymous Coward

      自分は好きなキャラの名前と身長と好きな犬種と好きな色 みたいにしてるな。
      一例を出すなら
      doraemon_129.3_Husky_blue
      みたいな。

      同じようにキャラ名がローマ字なんで、↑のじゃ大したことないけど
      実際はもうちょっと長いし、辞書には乗らないだろうからな。
      正式なローマ字じゃないかもしれないし(チをchiとするかitiとするかみたいな)

      でもルールに関係なく「自分は」tiで打つ派ってならルーリングは関係ない。
      あえて主流じゃないほうが特定されにくいし。
      自分の好きなキャラとかだから忘れることもない。
      特にキャラは誰にも知られていないなら予測すらできない。(普段から好きなキャラ公言しまくってるやつなら別だが)
      長くなるし、数字とかも入るし、記号も入れてるし、何より忘れる事がない。←これが重要。

  • >その長さは少なくとも15文字で、その中には辞書に載っているような単語が含まれていても問題ない。

    FBIの技術部門は、辞書に載っているような単語が含まれていても問題ない。

    >・辞書に載っているような単語や「安全でないパスワード」の使用は禁止

    NISTの提案では、辞書に載っているような単語の使用は禁止。

    対立してた、どないするんやろ。

    こちらは切に願います。

    >大文字/小文字、特殊文字の混在を必須にする必要はない
    >パスワードを強制的に変更させる必要はない
    >パスワードの「ヒント」は許可しない

    • by Anonymous Coward on 2020年03月03日 16時02分 (#3772406)

      大事なのは桁数で強度が上がるということ

      例えば頻出英単語4000語からランダムに「correct-horse-battery-staple」を
      選ぶと辞書攻撃を仮定しても「1234-0123-3210-1000」などと同等
      つまり4000^4≒2.6*10^14通りの探索空間になる
      (なおこの例示パスワードは有名なのでコピペして使ってはいけない)

      これに対して英数大小記号(64通りとする)8文字だと64^8≒2.8*10^14通り
      なので同等の強度ということになり英単語を五単語に増やすと1.0*10^18通り
      となり8文字英数記号はいくら覚えにくくしても全く勝ち目がなくなる

      大事なのは見た目の複雑さや文字種ではなく桁数で強度が上がるということ

      親コメント
    • by Anonymous Coward on 2020年03月03日 16時04分 (#3772407)

      ちゃんと読め。

      >それよりも複数の単語から構成される長いパスワードを使う方が良いという。

      だいたい、辞書に載ってて15文字を超えるような単語が、internationalization以外にどれぐらいあると思ってるんだ。

      高木先生の2年前の推奨方法 [twitter.com]がそれに近い。
      自分で単語を選ぶと脆弱なので、5万語収録の辞書をパッと開いてランダムな単語にする。
      5万3≒2610 だから、辞書攻撃されても、アルファベット小文字10文字からなるランダムなパスワードへの総当たりと同じぐらいの耐性。

      どうしても手軽すぎるのが気になるなら、単語の区切りを好みの記号なり数字なりアルファベットにすればより強力。

      親コメント
      • by Anonymous Coward

        > だいたい、辞書に載ってて15文字を超えるような単語が、internationalization以外にどれぐらいあると思ってるんだ。

        $ grep -E '^[a-z]{15,}$' /usr/share/dict/words | wc -l
        12116

    • 元記事を読んだのですが、
      ・兎に角長さを稼げ、
      ・辞書攻撃に用いられるような「単語のみ」はNG、
      ・覚える必要があるならば歌の歌詞のようなメジャーさが無い自分だけが分かる文章レベルまで単語を並べるのは有効、
      と読み取りました。

      passwordとかpass0123みたいなのは辞書攻撃に使われるメジャーな単語はNGですが、例えば色々な単語を組み合わせてpasswordintheskywithbuzzwordみたいなのにするのはOK、って事なのだと思います。
      文字数が多ければ指数関数的に計算が増えるのでブルートフォースにも有効、文章のようにしてしまえば単純な辞書攻撃にも対処可能、って事みたいです。
      前述の例も、文字数としては28文字ですが、要素はどれも一般的な英語で構成しています。

      #ウチのWi-Fiのパスワードも単語を並べていますが、30文字くらいの意味不明な文字列になっているなぁ
      親コメント
    • by Anonymous Coward

      単語そのものはパスワードにできないが含まれているのは可

      って読んだんだけど違う?

      • by Anonymous Coward

        「a」を「@」に変えるとか
        「s」を「z」に変えるとかじゃないの?
        辞書に載っているような単語じゃない奴って。(hylom語とか)

        #いや、俗語やスラングをパスワードにしろという指南だろうか?

        • by Anonymous Coward on 2020年03月03日 15時53分 (#3772397)

          パスワード辞書にはそんなありがちな置換全部載ってるよ

          親コメント
          • by Anonymous Coward

            なるほど、FBIが言っている辞書と言うのは、「パスワード辞書」の事だったのですね。
            「パスワード辞書」に乗ってない単語をパスワードに使えば安全とFBIは仰られている。
            (ならばhylom語は最強だと思う)

            #up up up in to the Sky.
            #今でも覚えてる英語の教科書にあったフレーズ。
            #母親に飲ませた柄杓の水には妖しいクスリが入ってたに違いない。

            • by Anonymous Coward

              hylom語は再現性に問題が……。盤石だったとしても二度と入力できないでしょ。

            • by Anonymous Coward

              hなんとかさんはネタとして、
              良くあるLeetを一部のみ適用する
              (例えば、"srad"に対して、"s7aI7"とする)は
              効果的な文字痴漢(なぜか変換できない)になるのでしょうか

    • by Anonymous Coward

      単語+α = OK
      単語 = NG

      なら、ちゃんと両者は成立するだろ。

      • by Anonymous Coward

        単なる、単語ありと単語無しやん

    • by Anonymous Coward

      対立してるかなあ?

      「単語」そのものの使用は脆弱なので禁止する。
      (辞書に載ってる単語を繋げた)「パスフレーズ」を推奨。

      という話じゃね。パスフレーズの話は随分昔からあったんでわ。

      単語そのままはアカンけど、それを二語繋げるだけでも、組み合わせは二乗になるから。
      十分に長いフレーズなら解読は極めて困難になる。

    • by Anonymous Coward

      いくら長いからといって、"Supercalifragilisticexpialidocious" (34文字、メアリー・ポピンズに出てきた長い単語)のような辞書に載っている単語はNGということでしょ>NIST提案

  • by Anonymous Coward on 2020年03月03日 16時04分 (#3772409)

    20年以上前から言われてたけど、当時は8桁までのパスワードしか登録できないサービスがザラだったので、複雑にせざるを得なかった。時代が追い付いたということか。

  • by Anonymous Coward on 2020年03月03日 16時04分 (#3772410)

    複数の関連性のない単語を入れるとより良いそうだ。

    一般には関係ない単語か……

    train-linux-install-cd

    よし、ばっちりだな!

    ・パスワードの「ヒント」は許可しない

    ついでに、秘密の質問とかいうバックドア強制も辞めてもらえませんかね。
    秘密でもなんでもない秘密の質問しか選べないの多すぎるし。

    • train-linux-install-cd

      よし、ばっちりだな!

      ちょっと短くはないですか?
      最後に-oliverを追加するとちょうどいい感じですよ。

      親コメント
    • by Anonymous Coward
      ここでもよく言われてるけど秘密の質問は第2パスワードとして使ってる
      質問の内容と関係ない文字列を入力
      • by Anonymous Coward

        情報リテラシーとして、
        秘密の質問は、とち狂ったセキュリティ担当が莫迦なIT会社に作らせた欠陥機能で、
        漏洩される前提(ハッシュ関数を通しているかすら怪しいし、もし漏洩した際も
        変更もできないと考えたほうが良い)で、嘘の情報(≒ユニークなパスワード)を
        入力するように啓蒙すべきだとは思う。

      • by Anonymous Coward

        1回設定したら変更できない糞な実装があるんですよね。
        しかも複数個のペアを要求してくるとかあるので。

    • by Anonymous Coward

      仕組み的に考えると。
      秘密の質問は本当のことを答える必要がありません。
      「ペットの名前は?」に素直に「ポチ」と答えるのではなく、
      「今日はラーメンが食べたい」と登録しておけばいいのです。
      (注:「ポチ」も「今日はラーメンが食べたい」も例示です。)

      ペットの名前がポチなのは本人以外も知ることができるので、
      私のIDが流出した(パスワードは流行してない)時に、
      わざとパスワードの再発行処理をして、「ペットの名前は?」と聞かれたら、
      「ポチ」と入力してみれば、他の答えよりも高い確率でアカウントを乗っ取れるでしょう。
      しかし、「今日はラーメンが食べたい」が

      • by Anonymous Coward

        あれの本来的な趣旨は本人確認の代用なんだよな。免許証と印鑑で口座の暗証がリセットできるだろ?
        しかし実装が第二パスワード以外の何物でもないから推測不可能にしてメモするしかないんだよなぁ

      • by Anonymous Coward

        セキュリティ意識というか、利用方法から
        サービス提供者の提供情報をどこまで猜疑的に考察できるか
        (悪くいえば、騙されない、嘘を嘘と見抜ける)スキルが求められるということですよね。

        # ソーシャルハッキングという観点なら
        # セキュリティか...

  • by Anonymous Coward on 2020年03月03日 15時41分 (#3772388)

    パスワードを「pasuwa-do wa fukuzatsusa yori nagasa ga daiji」に変更しちゃうぞ。
    これで多い日も安心。

  • by Anonymous Coward on 2020年03月03日 15時47分 (#3772393)

    やっぱり覚えさせるつもりなんですかね。
    使い回しの芽を摘み取る為、覚える方式は忌避させた方が良い気がします。

    • by Anonymous Coward

      keepassとか使ってるけど、普段使うものは覚えたほうが早いんだよ、やっぱ。

  • by Anonymous Coward on 2020年03月03日 15時58分 (#3772403)

    だいたい、攻撃者の手法も知れているのだからそれに対する方策も分かるというもの。
    今更何言ってるんだかという感想。
    挙げた3つ以外の方法があるなら教えてほしい。
    # サイドチャネル攻撃みたいなハードアシストはいくらでもありそう

    • by Anonymous Coward

      何を言ってるのか分からないなら教えてやろう
      パスワードは複雑さより長さが大切という話と
      パスワードは長さが複雑さより大事という話で
      複雑さよりパスワードには長さが重要って話だ

    • by Anonymous Coward

      向こうのお国も、自明なだけではダメで、
      権威ある組織が発言しないと真にならないという事では?

      # 安全ではなく安心が重要

    • by Anonymous Coward
      >今更何言ってるんだかという感想。

      あなたは分かっていても、世の中分かっている人ばかりではないのです。
      人を説得する根拠としても、名の売れた公的機関などが発信した情報というのは大事かと。
  • by Anonymous Coward on 2020年03月03日 17時40分 (#3772503)

    世の淑女方は、長さよりも太さを重視されるそうですよ。

    # 何の話だ

  • by Anonymous Coward on 2020年03月03日 18時42分 (#3772574)

    今までのパスワード:1234
    これからのパスワード:123456789012345

  • って数年後には言われるんじゃねえの?

    • by Anonymous Coward

      単語を組み合わせた辞書が出来たら言われるかもね。
      少なくとも、open sesameみたいなヤバイ組み合わせとか、動詞・名詞の組み合わせみたいな手法で辞書を絞り込むみたいな手法は出てくると思う。
      だからこその「関連性のない単語」で、耐性を持たせようとしてるのだと思う。

  • by Anonymous Coward on 2020年03月03日 19時03分 (#3772602)

    今の職場、パスワードの文字数上限が16文字しかない(今後も増やしてくれない)のに、
    パスワードの最低の長さを年々増やしている(8文字→12文字→14文字)
    大義名分が出来ちゃうじゃないか。

    # いまだに平文保存なのだろうか?

    • by Anonymous Coward

      辞めたときに総当たり出来ないじゃん

    • by Anonymous Coward

      「いま設定されてるパスワード教えろ!変えるなど許さん!」な会社だと平文でしょうねぇ。
      #(権力もった)人の問題はシステムではど〜にもならん

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...