ASCII.jp、「パスワードはo(オー)を0(ゼロ)に置き換えると破られにくい」という記事を掲載 69
ストーリー by nagazou
掲載 部門より
掲載 部門より
ASCII.jpに掲載されたセキュリティ関連の記事で、「パスワードが破られる時間を0.3秒から2世紀に延ばすには!?」とする記事で、数字やAlphabetの簡単な羅列では総当たり攻撃で破られてしまうことから、「小文字のみ7文字」に6文字足し、小文字のみ13文字にするといった方法や意図的にアルファベットのo(オー)を0(ゼロ)に置き換える意図的にスペルミスを混入させる手法などを紹介している(ASCII.jp)。
しかしセキュリティ会社のカスペルスキーの「強力で使いまわししないパスワードを作成するためのヒント」という記事では、強力なパスワードの作成方法として、文字の「O」の代わりに数字のゼロ「0」を使用するわかりやすい文字の置き換えなどは避けるよう求めている。これによれば、すでにハッカー側はソフトウェアにこれに対抗するコードを組み込んでおり、先の記事のような置き換えは避けるよう注意を促した内容となっている(カスペルスキー)。
しかしセキュリティ会社のカスペルスキーの「強力で使いまわししないパスワードを作成するためのヒント」という記事では、強力なパスワードの作成方法として、文字の「O」の代わりに数字のゼロ「0」を使用するわかりやすい文字の置き換えなどは避けるよう求めている。これによれば、すでにハッカー側はソフトウェアにこれに対抗するコードを組み込んでおり、先の記事のような置き換えは避けるよう注意を促した内容となっている(カスペルスキー)。
こういうのは日頃からの訓練が大事 (スコア:4, おもしろおかしい)
>意図的にスペルミスを混入させる手法
日頃から意図的にスペルミスやら誤字を混入させる練習をしてる某編集者は偉い!
Re: (スコア:0)
nagazOu の事だな
Re: (スコア:0)
naqazouが就任した時にはこれで誤字ともおさらばだと喜んだものですが、結局hyIomの時とあまり変わらずがっかりしました
head1essはどうなんだろう? 分かんないや…
Re: (スコア:0)
ばかめ、ハイロムは辞めたわ!
平日の編集者は悪魔合体大好きで外道ストーリーを作りたがる人だよ。
日本語ローマ字一本で。 (スコア:2)
過去のサーバのrootでは、
ohakonbanchiwa###
とか。
ある程度長さが稼げたら最強かも。
Re: (スコア:0)
まだまだ甘いな
Re: (スコア:0)
ちなみに、2020年頃のパスワード・ワースト100万件(※)の中に、
・ohaで始まるものは 18件あり、
・###で終わるものは 3件あります。
・そのリストには、konbanwaやkonnichiwaも含まれます。
・xacho hakobyanさんみたいな名前由来(アルメニア人っぽい)も含まれてたりします。
思わぬ言葉の思わぬ組み合わせが辞書攻撃に使われてたりもするので、
アラレちゃんみたいなWell-knownソースのものを使って「これが最強」と思う過信は禁物だと思います。
※既知の漏洩パスワードワースト1000万件のうちの最初の部分です。
「SecLists」(有名処のものですが)
https://github.com/danielmiessler/SecLists [github.com]
Re:日本語ローマ字一本で。 (スコア:2)
良く調べてくださいました。
ACでのコメントがもったいない(^^;
まぁ、パスワード自動生成とかで作ったパスワードは安全かもしれないけど、
まず覚えられないので、そのための手間がかかるんですよね。
それに比べたら、ローマ字入力は長さも稼げるので、良いんじゃないかと思います。
suradodehaACnokatamo-ookukomenntoshitekuremasu;
とか。(苦笑)
Re: (スコア:0)
だから、辞書にない文字列なら大丈夫って考えは危ないってカスペルスキーは言ってんのに、分かってないなぁ
記事に違和感 (スコア:2)
総当たり攻撃 [wikipedia.org]と辞書攻撃 [wikipedia.org]は違うと思うんだけどなんかごっちゃになってないか?
総当たりなら「ThisIsMyPasswrd」より「ThisIsMyPassword」の方が時間がかかると思うんだが。
あと「小文字のみ7字のパスワードなら0.3秒以内」とか言ってるけどどのシステムを対象にするかにもよると思うのだけれど。
大事なことなので2回書く (スコア:1)
いわゆるハッカー文字(leet)を使って書いたものをつないで書くと、忘れないし覚えやすいです。
+英語をローマ字表記にすると、指摘されている辞書攻撃にも強くなりますよね。
たとえば5145hd07Surasshudottoとか(スラッシュドットで21文字)。
もちろん日本語辞書も存在するので、ありきたりだとやられますが、覚えやすいのでお勧めです。
カスペルスキーの言い分の方が実情にあってると思う (スコア:0)
よくいるよねiを1にしたりoを0にしたりqを9にしたり
Re: (スコア:0)
1337ちゅうやっちゃな
Re: (スコア:0)
最近4とAを置き換えたグループ名とか以前よりみるようになりましたね。流行ですかね?
Re:カスペルスキーの言い分の方が実情にあってると思う (スコア:1)
toを2にするのと同じ?ではないですね。
Re: (スコア:0)
no to to to for
Re: (スコア:0)
サイバー犯罪グループの露出が増えてるからでしょう
Re: (スコア:0)
中二病だよ 英語はかっこいいみたいな
Re: (スコア:0)
/-\|-|0な発想だよな
Re:カスペルスキーの言い分の方が実情にあってると思う (スコア:1)
>rn->m
これターミナルのフォントによってはかなり紛らわしいですよね。
単語の一文字目の "I" と "l" も混同しやすい。
何度か見間違えてツボった。
passw0rd (スコア:0)
これで安心
Re: (スコア:0)
より強度が高い pa55w0rd がおススメ
Re: (スコア:0)
5が連続してるだろう片方$にしたほうがより良いぞ。
Re: Re:passw0rd (スコア:1)
先輩が0を()に置き換えるという誰も思いつかないすごいアイデアを教えてくれた
Re: Re:passw0rd (スコア:1)
>先輩が0を()に置き換えるという誰も思いつかないすごいアイデアを教えてくれた
英文字大小、数字、記号全部使えというパスワード設定縛りのときに良さそうですね。
P6s$()rd
とかになるのかな。
Re: (スコア:0)
ネ申じゃん
Re: (スコア:0)
9455w0r6 でいこう
# 大昔、雑誌に掲載されていたプログラムを入力するとき
# Aと4や0と8とBとDとOや1とIや5とSなどが分かりにくいフォントがあって苦労したなあ
Re: (スコア:0)
さらにaを@にすれば完璧ですね!
Re: (スコア:0)
wはvvにするのが基本!
Re: passw0rd (スコア:2, 興味深い)
おまえら完全に読まれてるぞ。
P@55vv0rd
↓
【ハニーポットの検証】実際に攻撃に使用されたパスワード
https://tk-secu.hateblo.jp/entry/2018/11/19/224639 [hateblo.jp]
Re: (スコア:0)
人のパスワードを晒さないで下さい😣
Re: (スコア:0)
pasuwaado
英語圏の辞書アタックだと強い
出来る範囲でやればいい (スコア:0)
ASCIIの記事で想定している総当たり攻撃なら破られやすさは変わらない
辞書攻撃を想定しているならLeetを考慮してない攻撃者に対しては有効
そのあたりASCIIの記事(McAfeeのネイティブ広告)はちょっとおかしい
それはそれとして文字を置き換えた方が辞書攻撃で破られにくいというのも間違いとも言い切れない
少なくとも破られやすくなるということはないし、パスワードの定期変更ネタと違って悪影響はない
カスペルスキーはわかりやすい文字の置き換えは避けるように呼び掛けているけど、わかりにくい文字の置き換えをしてパスワードを記憶できなければ意味がない
実行できないセキュリティは絵に描いた餅でしかないし、カスペルスキー自身「記憶できるか?」というのも要素のひとつとして挙げている
McAfee vs Kasperskyというほど対立的な構図でもなく、出来る範囲でやればいいと思う
# もちろんパスワードマネージャーでランダムな文字列を使うのがベストだが、それを言うと身も蓋もないので、ここではパスワードマネージャーにアクセスするために覚えなければいけないパスワードの話と仮定する
Re: (スコア:0)
自分は、2つ以上の単語から1文字ずつ順番に取り出して連結した文字列をパスワードに使っています。
忘れたときのために元の単語を別々の紙に残していますが、即バレしなければいいと妥協しています。
Re: (スコア:0)
まあ今どきASCIIとか言ってるようなメディアに期待しないほうがいいでしょう。
逸般用語ではあるある (スコア:0)
アソパソマソとか
うpとか
# パスワードにギャル語を必須にすれば万全だろうか
出発点がダメ (スコア:0)
これって要するに単語をパスワードにするって話だよね。単語なんて使うなって・・・
時代は「長さ」だと何度言えば、、、 (スコア:0)
総当たり攻撃に、パスワードを節約する意味はない。
まあ、そもそもサイドチャネル攻撃やショルダーハックされてしまえば意味ないがな
既知の法則を使っても良いが… (スコア:0)
それを強度の要と捉えてるようじゃ全然ダメ、という基本的な事ね。
間違いではない (スコア:0)
10文字以下のパスワードの場合、oを0に差し替えるのは辞書攻撃などの対策になり強度が増すのは事実。否定されるべきではない。
しかしもっと根本的な対策は「パスワードの文字数を多くする」であって
それよりも良い強化方法はない。
Re: (スコア:0)
無駄に長くするために同じ文字連続するパスワードにすると怒るチェッカーがいるの困る。
passworddddddddddddddddddddddddddddodddddddddd
Re:間違いではない (スコア:1)
Re: (スコア:0)
p@s$wArdは?
単純に長くしたい (スコア:0)
好きな歌の歌詞をローマ字にしてそのまま入れたいんですけどね。
聖飢魔IIのPaint me blackの歌詞を、曲の三節や四節ぶんぐらい入れたら、もう総当りや辞書攻撃では破れないと思うし。
自己レス (Re:単純に長くしたい (スコア:0)
今までに使ったことのあるパスワード。ただし社内サーバー管理用。
商用サービスだと「16文字以内」だとか「大文字小文字数字記号をそれぞれ最低ひとつは使え」のような意味不明な縛りが課せられることが多くて本当に困る。
・HohokekyoTonarinoYamadakunbyIshiiHisaichi
・AsakarabanmadeAkimosezuShikoshikodopyu
・YamerarenaiTomaranaiKarubi-KappaEbisen
・JikkahagokiburidarakedekaeritakunaiKachannantokashite
Re: (スコア:0)
みかか打ちしとけ。考えなくても記号や数字が入る。
#実際のパスワードの文字列を知らないということが普通にある。
31337 (スコア:0)
31337
Re: (スコア:0)
既出ネタの重複投稿やめてください
だから、自分で考えるなとあれほど (スコア:0)
もはや、「パスワードはランダムに決めろ。パスワード管理ソフトを使え」しかないのに、何を言っているのか?
Re: (スコア:0)
そのパスワード管理ソフトの復号パスワードはどうしてるのっと