「パスワードは複雑さより長さが大切」 FBIが指南 70
ストーリー by hylom
現実的な答え 部門より
現実的な答え 部門より
FBIの技術部門が、パスワードやパスフレーズを使ったセキュリティ向上のための手法を解説している(ITmedia)。
ここで推奨されているのが、長いパスワードを使うという手法。短く複雑なパスワードは覚えにくいため、それよりも複数の単語から構成される長いパスワードを使う方が良いという。その長さは少なくとも15文字で、その中には辞書に載っているような単語が含まれていても問題ない。また、複数の関連性のない単語を入れるとより良いそうだ。
なお、ここではNIST(米国立標準技術研究所)による安全なパスワードに関する次のような提案も紹介されている。
- 15文字以上のパスワードを必須とする。大文字/小文字、特殊文字の混在を必須にする必要はない
- ネットワークへの不正侵入が発生したという場合を除き、パスワードを強制的に変更させる必要はない
- 辞書に載っているような単語や「安全でないパスワード」の使用は禁止
- 一定数のログイン失敗に対しユーザーアカウントをロックするような仕組みを導入しているシステムもあるが、これはサービス拒否攻撃につながるため行うべきではない
- パスワードの「ヒント」は許可しない
それがFBIにとって都合のいいパスワードってことか (スコア:5, おもしろおかしい)
タイトルオンリー
Re: (スコア:0)
そう。「もう解読できないから諦めようぜ」と、サボる口実になるのだ。
Re: (スコア:0)
> 一定数のログイン失敗に対しユーザーアカウントをロックするような仕組みを導入しているシステムもあるが、これはサービス拒否攻撃につながるため行うべきではない
なんか、ここ引っ掛かりますね。
スマホではほとんどが数字6桁だけのパスコードですが、一定数のログイン失敗でログインできなくなり、そのシステムをFBIとかが解除するのに苦労していたと思うのですが。
それはWebサービスじゃないかゃら拒否攻撃がしにくいというのは尤もだけど、Webでも対処方法を考えられる気がするんですよね。(私には考えられないけど)
Re: (スコア:0)
スマホは通常、不特定多数が触れないし、一定時間経過すれば自動でロック解除されるでしょう。
それでも、いたずらで47年間もロック [rocketnews24.com]されて平気な人は少ない。
世の中、パスワード失敗でアカウントロックするのは良いけど、電話でロック解除どころか、パスワードリセットするみたいなソーシャルハックの入り口を作る所もあります。
ロックアウトするのは良いけど、「ロックアウト機能」が悪用された場合の対処手段や、ロックアウトからの回復手順に適切な手順が設計・構築・運用されているのかは要注意だと思います。
そっちから攻めたら秘密の質問みたいに実は簡単に突破できるみたいなパターンが有り得るので。
ローマ字最高 (スコア:2)
あまり書かれてないけど、ローマ字で日本語を書くほうが、字数も稼げて、(外国人から)意味不明になりやすいと思ってます。
pasuwa-dohahimitsudesukasoudesuka
みたいな方が、英単語の組み合わせより強く、そして、速く打てるという。
(まだ手で打ってんのか、という指摘はあるかもですが、なんのかんのあるんですよ)
Re: (スコア:0)
昔、やたらと長い(15文字とか20文字以上)パスワードを要求してくるシステムでは、
自宅の住所から途中の文字を削ってローマ字にしていたな。
〇〇(市)△△区□□1-1-1とか〇〇市(△△区)□□1-1-1とか(カッコの部分を削る)
Re: (スコア:0)
自分は好きなキャラの名前と身長と好きな犬種と好きな色 みたいにしてるな。
一例を出すなら
doraemon_129.3_Husky_blue
みたいな。
同じようにキャラ名がローマ字なんで、↑のじゃ大したことないけど
実際はもうちょっと長いし、辞書には乗らないだろうからな。
正式なローマ字じゃないかもしれないし(チをchiとするかitiとするかみたいな)
でもルールに関係なく「自分は」tiで打つ派ってならルーリングは関係ない。
あえて主流じゃないほうが特定されにくいし。
自分の好きなキャラとかだから忘れることもない。
特にキャラは誰にも知られていないなら予測すらできない。(普段から好きなキャラ公言しまくってるやつなら別だが)
長くなるし、数字とかも入るし、記号も入れてるし、何より忘れる事がない。←これが重要。
辞書に載っているような単語 (スコア:1)
>その長さは少なくとも15文字で、その中には辞書に載っているような単語が含まれていても問題ない。
FBIの技術部門は、辞書に載っているような単語が含まれていても問題ない。
>・辞書に載っているような単語や「安全でないパスワード」の使用は禁止
NISTの提案では、辞書に載っているような単語の使用は禁止。
対立してた、どないするんやろ。
こちらは切に願います。
>大文字/小文字、特殊文字の混在を必須にする必要はない
>パスワードを強制的に変更させる必要はない
>パスワードの「ヒント」は許可しない
Re:辞書に載っているような単語 (スコア:1)
大事なのは桁数で強度が上がるということ
例えば頻出英単語4000語からランダムに「correct-horse-battery-staple」を
選ぶと辞書攻撃を仮定しても「1234-0123-3210-1000」などと同等
つまり4000^4≒2.6*10^14通りの探索空間になる
(なおこの例示パスワードは有名なのでコピペして使ってはいけない)
これに対して英数大小記号(64通りとする)8文字だと64^8≒2.8*10^14通り
なので同等の強度ということになり英単語を五単語に増やすと1.0*10^18通り
となり8文字英数記号はいくら覚えにくくしても全く勝ち目がなくなる
大事なのは見た目の複雑さや文字種ではなく桁数で強度が上がるということ
複数の単語に対して辞書攻撃をかけた場合 (スコア:0)
英単語はググった所100万語ぐらいあり、それが四つ続いているので
10^6^4=10^24
辞書攻撃をやるよりも総当たり攻撃をしたほうが早いレベル
Re:辞書に載っているような単語 (スコア:1)
ちゃんと読め。
>それよりも複数の単語から構成される長いパスワードを使う方が良いという。
だいたい、辞書に載ってて15文字を超えるような単語が、internationalization以外にどれぐらいあると思ってるんだ。
高木先生の2年前の推奨方法 [twitter.com]がそれに近い。
自分で単語を選ぶと脆弱なので、5万語収録の辞書をパッと開いてランダムな単語にする。
5万3≒2610 だから、辞書攻撃されても、アルファベット小文字10文字からなるランダムなパスワードへの総当たりと同じぐらいの耐性。
どうしても手軽すぎるのが気になるなら、単語の区切りを好みの記号なり数字なりアルファベットにすればより強力。
Re: (スコア:0)
> だいたい、辞書に載ってて15文字を超えるような単語が、internationalization以外にどれぐらいあると思ってるんだ。
$ grep -E '^[a-z]{15,}$' /usr/share/dict/words | wc -l
12116
Re:辞書に載っているような単語 (スコア:1)
・兎に角長さを稼げ、
・辞書攻撃に用いられるような「単語のみ」はNG、
・覚える必要があるならば歌の歌詞のようなメジャーさが無い自分だけが分かる文章レベルまで単語を並べるのは有効、
と読み取りました。
passwordとかpass0123みたいなのは辞書攻撃に使われるメジャーな単語はNGですが、例えば色々な単語を組み合わせてpasswordintheskywithbuzzwordみたいなのにするのはOK、って事なのだと思います。
文字数が多ければ指数関数的に計算が増えるのでブルートフォースにも有効、文章のようにしてしまえば単純な辞書攻撃にも対処可能、って事みたいです。
前述の例も、文字数としては28文字ですが、要素はどれも一般的な英語で構成しています。
#ウチのWi-Fiのパスワードも単語を並べていますが、30文字くらいの意味不明な文字列になっているなぁ
Re: (スコア:0)
単語そのものはパスワードにできないが含まれているのは可
って読んだんだけど違う?
Re: (スコア:0)
「a」を「@」に変えるとか
「s」を「z」に変えるとかじゃないの?
辞書に載っているような単語じゃない奴って。(hylom語とか)
#いや、俗語やスラングをパスワードにしろという指南だろうか?
Re:辞書に載っているような単語 (スコア:1)
パスワード辞書にはそんなありがちな置換全部載ってるよ
Re: (スコア:0)
なるほど、FBIが言っている辞書と言うのは、「パスワード辞書」の事だったのですね。
「パスワード辞書」に乗ってない単語をパスワードに使えば安全とFBIは仰られている。
(ならばhylom語は最強だと思う)
#up up up in to the Sky.
#今でも覚えてる英語の教科書にあったフレーズ。
#母親に飲ませた柄杓の水には妖しいクスリが入ってたに違いない。
Re: (スコア:0)
hylom語は再現性に問題が……。盤石だったとしても二度と入力できないでしょ。
Re: (スコア:0)
hなんとかさんはネタとして、
良くあるLeetを一部のみ適用する
(例えば、"srad"に対して、"s7aI7"とする)は
効果的な文字痴漢(なぜか変換できない)になるのでしょうか
Re: (スコア:0)
単語+α = OK
単語 = NG
なら、ちゃんと両者は成立するだろ。
Re: (スコア:0)
単なる、単語ありと単語無しやん
Re: (スコア:0)
対立してるかなあ?
「単語」そのものの使用は脆弱なので禁止する。
(辞書に載ってる単語を繋げた)「パスフレーズ」を推奨。
という話じゃね。パスフレーズの話は随分昔からあったんでわ。
単語そのままはアカンけど、それを二語繋げるだけでも、組み合わせは二乗になるから。
十分に長いフレーズなら解読は極めて困難になる。
Re: (スコア:0)
いくら長いからといって、"Supercalifragilisticexpialidocious" (34文字、メアリー・ポピンズに出てきた長い単語)のような辞書に載っている単語はNGということでしょ>NIST提案
知ってた (スコア:1)
20年以上前から言われてたけど、当時は8桁までのパスワードしか登録できないサービスがザラだったので、複雑にせざるを得なかった。時代が追い付いたということか。
つまりこういう事?&秘密の質問も禁止してほしい (スコア:1)
複数の関連性のない単語を入れるとより良いそうだ。
一般には関係ない単語か……
train-linux-install-cd
よし、ばっちりだな!
・パスワードの「ヒント」は許可しない
ついでに、秘密の質問とかいうバックドア強制も辞めてもらえませんかね。
秘密でもなんでもない秘密の質問しか選べないの多すぎるし。
Re:つまりこういう事?&秘密の質問も禁止してほしい (スコア:1)
ちょっと短くはないですか?
最後に-oliverを追加するとちょうどいい感じですよ。
Re: (スコア:0)
質問の内容と関係ない文字列を入力
Re: (スコア:0)
情報リテラシーとして、
秘密の質問は、とち狂ったセキュリティ担当が莫迦なIT会社に作らせた欠陥機能で、
漏洩される前提(ハッシュ関数を通しているかすら怪しいし、もし漏洩した際も
変更もできないと考えたほうが良い)で、嘘の情報(≒ユニークなパスワード)を
入力するように啓蒙すべきだとは思う。
Re: (スコア:0)
1回設定したら変更できない糞な実装があるんですよね。
しかも複数個のペアを要求してくるとかあるので。
Re: (スコア:0)
仕組み的に考えると。
秘密の質問は本当のことを答える必要がありません。
「ペットの名前は?」に素直に「ポチ」と答えるのではなく、
「今日はラーメンが食べたい」と登録しておけばいいのです。
(注:「ポチ」も「今日はラーメンが食べたい」も例示です。)
ペットの名前がポチなのは本人以外も知ることができるので、
私のIDが流出した(パスワードは流行してない)時に、
わざとパスワードの再発行処理をして、「ペットの名前は?」と聞かれたら、
「ポチ」と入力してみれば、他の答えよりも高い確率でアカウントを乗っ取れるでしょう。
しかし、「今日はラーメンが食べたい」が
Re: (スコア:0)
あれの本来的な趣旨は本人確認の代用なんだよな。免許証と印鑑で口座の暗証がリセットできるだろ?
しかし実装が第二パスワード以外の何物でもないから推測不可能にしてメモするしかないんだよなぁ
Re: (スコア:0)
セキュリティ意識というか、利用方法から
サービス提供者の提供情報をどこまで猜疑的に考察できるか
(悪くいえば、騙されない、嘘を嘘と見抜ける)スキルが求められるということですよね。
# ソーシャルハッキングという観点なら
# セキュリティか...
よーしパパ (スコア:0)
パスワードを「pasuwa-do wa fukuzatsusa yori nagasa ga daiji」に変更しちゃうぞ。
これで多い日も安心。
Re: (スコア:0)
ワイはallyourbasearebelongtousやで!
Re: (スコア:0)
そのフレーズはすでに辞書にあるんだよなあ
https://www.weblio.jp/content/allyourbasearebelongtous [weblio.jp]
「覚えにくいため」 (スコア:0)
やっぱり覚えさせるつもりなんですかね。
使い回しの芽を摘み取る為、覚える方式は忌避させた方が良い気がします。
Re: (スコア:0)
keepassとか使ってるけど、普段使うものは覚えたほうが早いんだよ、やっぱ。
辞書攻撃か、総当たりか、ソーシャルか (スコア:0)
だいたい、攻撃者の手法も知れているのだからそれに対する方策も分かるというもの。
今更何言ってるんだかという感想。
挙げた3つ以外の方法があるなら教えてほしい。
# サイドチャネル攻撃みたいなハードアシストはいくらでもありそう
Re: (スコア:0)
何を言ってるのか分からないなら教えてやろう
パスワードは複雑さより長さが大切という話と
パスワードは長さが複雑さより大事という話で
複雑さよりパスワードには長さが重要って話だ
Re: (スコア:0)
向こうのお国も、自明なだけではダメで、
権威ある組織が発言しないと真にならないという事では?
# 安全ではなく安心が重要
Re: (スコア:0)
あなたは分かっていても、世の中分かっている人ばかりではないのです。
人を説得する根拠としても、名の売れた公的機関などが発信した情報というのは大事かと。
理想 (スコア:0)
世の淑女方は、長さよりも太さを重視されるそうですよ。
# 何の話だ
Re:理想 (スコア:1)
ガチガチでも短いよりは、柔くても長いほうが良いということですね。
#もちろんガチガチで長ければなお良い、と
Re:理想 (スコア:1)
よし、よくわかった (スコア:0)
今までのパスワード:1234
これからのパスワード:123456789012345
数個の単語を組み合わせただけのパスワードは辞書攻撃に対して脆弱 (スコア:0)
って数年後には言われるんじゃねえの?
Re: (スコア:0)
単語を組み合わせた辞書が出来たら言われるかもね。
少なくとも、open sesameみたいなヤバイ組み合わせとか、動詞・名詞の組み合わせみたいな手法で辞書を絞り込むみたいな手法は出てくると思う。
だからこその「関連性のない単語」で、耐性を持たせようとしてるのだと思う。
やめてくれ (スコア:0)
今の職場、パスワードの文字数上限が16文字しかない(今後も増やしてくれない)のに、
パスワードの最低の長さを年々増やしている(8文字→12文字→14文字)
大義名分が出来ちゃうじゃないか。
# いまだに平文保存なのだろうか?
Re: (スコア:0)
辞めたときに総当たり出来ないじゃん
Re: (スコア:0)
「いま設定されてるパスワード教えろ!変えるなど許さん!」な会社だと平文でしょうねぇ。
#(権力もった)人の問題はシステムではど〜にもならん