パスワードを忘れた? アカウント作成
15775134 story
セキュリティ

ASCII.jp、「パスワードはo(オー)を0(ゼロ)に置き換えると破られにくい」という記事を掲載 69

ストーリー by nagazou
掲載 部門より
ASCII.jpに掲載されたセキュリティ関連の記事で、「パスワードが破られる時間を0.3秒から2世紀に延ばすには!?」とする記事で、数字やAlphabetの簡単な羅列では総当たり攻撃で破られてしまうことから、「小文字のみ7文字」に6文字足し、小文字のみ13文字にするといった方法や意図的にアルファベットのo(オー)を0(ゼロ)に置き換える意図的にスペルミスを混入させる手法などを紹介している(ASCII.jp)。

しかしセキュリティ会社のカスペルスキーの「強力で使いまわししないパスワードを作成するためのヒント」という記事では、強力なパスワードの作成方法として、文字の「O」の代わりに数字のゼロ「0」を使用するわかりやすい文字の置き換えなどは避けるよう求めている。これによれば、すでにハッカー側はソフトウェアにこれに対抗するコードを組み込んでおり、先の記事のような置き換えは避けるよう注意を促した内容となっている(カスペルスキー)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年09月01日 16時37分 (#4316952)

    >意図的にスペルミスを混入させる手法

    日頃から意図的にスペルミスやら誤字を混入させる練習をしてる某編集者は偉い!

    • by Anonymous Coward

      nagazOu の事だな

      • by Anonymous Coward

        naqazouが就任した時にはこれで誤字ともおさらばだと喜んだものですが、結局hyIomの時とあまり変わらずがっかりしました
        head1essはどうなんだろう? 分かんないや…

    • by Anonymous Coward

      ばかめ、ハイロムは辞めたわ!

      平日の編集者は悪魔合体大好きで外道ストーリーを作りたがる人だよ。

  • 日本語をローマ字読みして使ってます。辞書にない言葉で。
    過去のサーバのrootでは、
    ohakonbanchiwa###
    とか。

    ある程度長さが稼げたら最強かも。
    • by Anonymous Coward

      まだまだ甘いな

    • by Anonymous Coward

      ちなみに、2020年頃のパスワード・ワースト100万件(※)の中に、
      ・ohaで始まるものは 18件あり、
      ・###で終わるものは 3件あります。
      ・そのリストには、konbanwaやkonnichiwaも含まれます。
      ・xacho hakobyanさんみたいな名前由来(アルメニア人っぽい)も含まれてたりします。

      思わぬ言葉の思わぬ組み合わせが辞書攻撃に使われてたりもするので、
      アラレちゃんみたいなWell-knownソースのものを使って「これが最強」と思う過信は禁物だと思います。

      ※既知の漏洩パスワードワースト1000万件のうちの最初の部分です。
       「SecLists」(有名処のものですが)
       https://github.com/danielmiessler/SecLists [github.com]

      • すごいです。
        良く調べてくださいました。
        ACでのコメントがもったいない(^^;

        まぁ、パスワード自動生成とかで作ったパスワードは安全かもしれないけど、
        まず覚えられないので、そのための手間がかかるんですよね。
        それに比べたら、ローマ字入力は長さも稼げるので、良いんじゃないかと思います。

        suradodehaACnokatamo-ookukomenntoshitekuremasu;
        とか。(苦笑)
        親コメント
    • by Anonymous Coward

      だから、辞書にない文字列なら大丈夫って考えは危ないってカスペルスキーは言ってんのに、分かってないなぁ

  • by wane (8495) on 2022年09月02日 11時22分 (#4317440) 日記

    総当たり攻撃 [wikipedia.org]と辞書攻撃 [wikipedia.org]は違うと思うんだけどなんかごっちゃになってないか?
    総当たりなら「ThisIsMyPasswrd」より「ThisIsMyPassword」の方が時間がかかると思うんだが。
    あと「小文字のみ7字のパスワードなら0.3秒以内」とか言ってるけどどのシステムを対象にするかにもよると思うのだけれど。

  • by Anonymous Coward on 2022年09月02日 8時56分 (#4317320)

    いわゆるハッカー文字(leet)を使って書いたものをつないで書くと、忘れないし覚えやすいです。
    +英語をローマ字表記にすると、指摘されている辞書攻撃にも強くなりますよね。
    たとえば5145hd07Surasshudottoとか(スラッシュドットで21文字)。
    もちろん日本語辞書も存在するので、ありきたりだとやられますが、覚えやすいのでお勧めです。

  • よくいるよねiを1にしたりoを0にしたりqを9にしたり

  • by Anonymous Coward on 2022年09月01日 16時32分 (#4316951)

    これで安心

    • by Anonymous Coward

      より強度が高い pa55w0rd がおススメ

      • by Anonymous Coward

        5が連続してるだろう片方$にしたほうがより良いぞ。

        • by Anonymous Coward on 2022年09月01日 18時59分 (#4317070)

          先輩が0を()に置き換えるという誰も思いつかないすごいアイデアを教えてくれた

          親コメント
          • by nemui4 (20313) on 2022年09月02日 7時05分 (#4317289) 日記

            >先輩が0を()に置き換えるという誰も思いつかないすごいアイデアを教えてくれた

            英文字大小、数字、記号全部使えというパスワード設定縛りのときに良さそうですね。
            P6s$()rd
            とかになるのかな。

            親コメント
          • by Anonymous Coward

            ネ申じゃん

      • by Anonymous Coward

        9455w0r6 でいこう

        # 大昔、雑誌に掲載されていたプログラムを入力するとき
        # Aと4や0と8とBとDとOや1とIや5とSなどが分かりにくいフォントがあって苦労したなあ

    • by Anonymous Coward

      さらにaを@にすれば完璧ですね!

    • by Anonymous Coward

      wはvvにするのが基本!

    • by Anonymous Coward

      人のパスワードを晒さないで下さい😣

    • by Anonymous Coward

      pasuwaado

      英語圏の辞書アタックだと強い

  • by Anonymous Coward on 2022年09月01日 17時00分 (#4316969)

    ASCIIの記事で想定している総当たり攻撃なら破られやすさは変わらない
    辞書攻撃を想定しているならLeetを考慮してない攻撃者に対しては有効
    そのあたりASCIIの記事(McAfeeのネイティブ広告)はちょっとおかしい

    それはそれとして文字を置き換えた方が辞書攻撃で破られにくいというのも間違いとも言い切れない
    少なくとも破られやすくなるということはないし、パスワードの定期変更ネタと違って悪影響はない

    カスペルスキーはわかりやすい文字の置き換えは避けるように呼び掛けているけど、わかりにくい文字の置き換えをしてパスワードを記憶できなければ意味がない
    実行できないセキュリティは絵に描いた餅でしかないし、カスペルスキー自身「記憶できるか?」というのも要素のひとつとして挙げている
    McAfee vs Kasperskyというほど対立的な構図でもなく、出来る範囲でやればいいと思う

    # もちろんパスワードマネージャーでランダムな文字列を使うのがベストだが、それを言うと身も蓋もないので、ここではパスワードマネージャーにアクセスするために覚えなければいけないパスワードの話と仮定する

    • by Anonymous Coward

      自分は、2つ以上の単語から1文字ずつ順番に取り出して連結した文字列をパスワードに使っています。
      忘れたときのために元の単語を別々の紙に残していますが、即バレしなければいいと妥協しています。

    • by Anonymous Coward

      まあ今どきASCIIとか言ってるようなメディアに期待しないほうがいいでしょう。

  • by Anonymous Coward on 2022年09月01日 17時57分 (#4317005)

    アソパソマソとか
    うpとか

    # パスワードにギャル語を必須にすれば万全だろうか

  • by Anonymous Coward on 2022年09月01日 18時05分 (#4317016)

    これって要するに単語をパスワードにするって話だよね。単語なんて使うなって・・・

  • by Anonymous Coward on 2022年09月01日 18時15分 (#4317025)

    総当たり攻撃に、パスワードを節約する意味はない。
    まあ、そもそもサイドチャネル攻撃やショルダーハックされてしまえば意味ないがな

  • by Anonymous Coward on 2022年09月01日 18時56分 (#4317068)

    それを強度の要と捉えてるようじゃ全然ダメ、という基本的な事ね。

  • by Anonymous Coward on 2022年09月01日 19時08分 (#4317078)

    10文字以下のパスワードの場合、oを0に差し替えるのは辞書攻撃などの対策になり強度が増すのは事実。否定されるべきではない。

    しかしもっと根本的な対策は「パスワードの文字数を多くする」であって
    それよりも良い強化方法はない。

    • by Anonymous Coward

      無駄に長くするために同じ文字連続するパスワードにすると怒るチェッカーがいるの困る。
      passworddddddddddddddddddddddddddddodddddddddd

  • by Anonymous Coward on 2022年09月01日 21時03分 (#4317138)

    好きな歌の歌詞をローマ字にしてそのまま入れたいんですけどね。
    聖飢魔IIのPaint me blackの歌詞を、曲の三節や四節ぶんぐらい入れたら、もう総当りや辞書攻撃では破れないと思うし。

    • 今までに使ったことのあるパスワード。ただし社内サーバー管理用。
      商用サービスだと「16文字以内」だとか「大文字小文字数字記号をそれぞれ最低ひとつは使え」のような意味不明な縛りが課せられることが多くて本当に困る。

      ・HohokekyoTonarinoYamadakunbyIshiiHisaichi
      ・AsakarabanmadeAkimosezuShikoshikodopyu
      ・YamerarenaiTomaranaiKarubi-KappaEbisen
      ・JikkahagokiburidarakedekaeritakunaiKachannantokashite

      • by Anonymous Coward

        みかか打ちしとけ。考えなくても記号や数字が入る。

        #実際のパスワードの文字列を知らないということが普通にある。

  • by Anonymous Coward on 2022年09月01日 22時50分 (#4317191)

    31337

  • by Anonymous Coward on 2022年09月02日 1時08分 (#4317238)

    もはや、「パスワードはランダムに決めろ。パスワード管理ソフトを使え」しかないのに、何を言っているのか?

    • by Anonymous Coward

      そのパスワード管理ソフトの復号パスワードはどうしてるのっと

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...