パスワードを忘れた? アカウント作成
16674546 story
セキュリティ

弱いパスワードを複雑なパスワードに変換できるアナログなカード 47

ストーリー by nagazou
アナログ 部門より
タイトル社は、ハッキングされないとされるパスワード生成カード「PassCard」の予約販売をクラウドファンディングサイト「Makuake」で開始した。最低出資額は5800円。このカードは、「数字のみ」、「数字+英小文字」、「数字+英小文字+英大文字」、「数字+英小文字+英大文字+特殊文字」といった異なるパターンのパスワードを生成・管理することが特徴(MakuakeのクラファンページPC Watch)。

カードに印字された文字により、「QWERTY」や「ORANGE」などの弱いパスワードを「6D3ohT」や「Joa$r0」といった、より複雑で安全なパスワードにアナログ変換できる。本体サイズが85×54×0.8mmで重量が約10gの、アルマイト処理されたアルミニウムカードで、カードごとに固有のシリアルナンバーが刻印されている。また、印字されている文字はカードごとに異なり、同じカードは存在しないという。紛失した場合でも専用のWebサイトにてシリアルナンバーとメールアドレスを入力することで、再発行が可能だとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ちょっと見たけど、あまり良くない。
    これ、結局単なる換字暗号だよね。そもそも、原理的な強度はどうなのかと。
    あと、実際には、パスワード管理の仕組みはなから、「なんか強そうな暗号」というイメージだけで、パスワードの使い回しを誘発しそうな気がする。
    一見、強度が高いだけに。
    --
    ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
    • by Anonymous Coward on 2023年06月27日 14時39分 (#4485017)

      「覚えやすい単純なパスワードをこのカードをつかって辞書攻撃のできない強度の強いパスワードに変換する」っていう単純な仕組みは必要にして十分
      原理的な強度なんて考えるだけ無駄よ

      親コメント
    • by Anonymous Coward on 2023年06月27日 15時18分 (#4485048)

      > これ、結局単なる換字暗号だよね。そもそも、原理的な強度はどうなのかと。

      アナログだかといって馬鹿にしちゃ駄目ですよ

      「QWERTY」が「6D3ohT」で
      「ORANGE」が「Joa$r0」です。

      これは単なる換字暗号じゃないです。
      「R」は「o」に換字されているけど
      「E」は「3」と「0」に換字されてます。

      暗号表が裏と表で2枚あるとか、革新的なテクノロジーが使われている可能性があります。

      親コメント
      • by simon (1336) on 2023年06月27日 16時48分 (#4485118)

        暗号表が裏と表で2枚あるとか、革新的なテクノロジーが使われている可能性があります。

        いや、これ一枚一枚シリアルが振ってあってすべて換字体系が別なんですよ

        >印字されている文字はカードごとに異なり、同じカードは存在しないという。

        つまりQWERTYとORANGEは別のカードで変換してるの

        親コメント
      • by Anonymous Coward on 2023年06月27日 16時02分 (#4485081)

        PC Watchの記事を見るとわかるように、
        > 暗号表が裏と表で2枚あるとか
        まさにその通りです。表が3つあって、
        QWERTYの例が数字・大文字・小文字への変換
        ORANGEの例が数字・大文字・小文字・特殊文字への変換
        他に数字のみへの変換があります。
        変換元は主にA-Zを想定しているみたいですね。数字や一部記号も書かれていますけど。

        単に紙に出力するなら自作も簡単でしょう

        親コメント
      • by Anonymous Coward on 2023年06月27日 16時11分 (#4485091)

        換字暗号というよりは簡易ハッシュ表だね。2文字に1文字が対応していて逆変換はできない。ハッシュ表がなぜか表2つと裏1つで3種類ある。

        そして、これで作ったパスワードを設定しようとして「大文字、小文字、数字、記号を必ず一つ以上含むパスワードを使用してください」みたいなサイト側の残念な制限に引かかる未来しか見えない

        親コメント
        • by Anonymous Coward

          これで作ったパスワードの後ろに機械的に "Aa1!" とか付けるようにすれば
          いいんじゃないですか

          • by Anonymous Coward

            「過去に使ったパスワードの一部が合致してはいけません」とか、
            「末尾に記号は使えません」とか、サイト側の残念な制限に引っかかるような・・(いずれも実際にあった)

      • by Anonymous Coward

        大昔は「NTT」が「ミカカ」に変換?とかありましたね。

    • by Anonymous Coward

      パスワードで使う程度なら換字暗号で十分じゃね?
      本文をこういう弱い暗号で暗号化すると出現頻度とかで解析されちゃうわけだが、パスワードの乱数表だもんなぁ。出現頻度の解析すらできぬ。

      単純に長くて覚えやすいパスワードを乱数表で暗号化すれば、実用上の強度は極めて高くなるから、それで十分だね。

      • by Anonymous Coward

        こういうのつかっちゃうおとこのひとって、「原文」を111111とかにしそう。
        そこにもってきて、もし暗号表の生成シードの情報量が少なければ…。

    • by Anonymous Coward

      不安なら2枚買って同じ単語から2つのパスワードを求めて連結すればいいんじゃね?
      どっちのカードが最初か忘れるというお約束はありそうだけど。

    • by Anonymous Coward

      変換なんて面倒な使い方する人おるんかね。縦とか横とか斜めの文字列で使うやろなw

    • by Anonymous Coward
      こういう場合、異なるパスワードをたくさん使うと、元の表が推測しやすくなるの?
  • by Anonymous Coward on 2023年06月27日 14時56分 (#4485032)

    製造元のオンラインショップに普通に売ってるのだが(out of stockだけど)。
    https://www.minuteobjects.com/product-page/passcard [minuteobjects.com]

    >皆様からいただいたご支援は、マーケティング・プロモーションのための資金として活用させていただきます。

    マーケティング・プロモーションのための資金??
    ただの輸入販売に見えるし、クラウドファンディングに値するリスクを負っているようには見えない。
    リスクを一方的に購入者に移転しようと試みる、よくないやり方に思える。

    • by Anonymous Coward on 2023年06月27日 15時00分 (#4485035)

      makuakeはだいたいこんな感じ
      アリババなんかの商材をノーリスクで仕入れて売る業者ばかりのサイトと思って良い

      親コメント
    • Re: (スコア:2, 興味深い)

      by Anonymous Coward on 2023年06月27日 15時21分 (#4485050)

      予約販売みたいなもんだし問題ないんじゃないですかね。
      それよりも価格が2倍くらいになってるのがなかなか。
      原価を考えるとウハウハか。
      HK$225.00(4,125円) → 一般販売予定価格8,910円

      親コメント
    • by Anonymous Coward

      アリババ見てるとほんとただの転売屋が多すぎる
      「あーそれアリババで売ってるやーつ!」ってなりすぎる

    • by Anonymous Coward

      そもそも簡単に自作できるよね。暗号表なんだから、手帳にでも手書きで書いちゃえば良い

      目的は辞書攻撃の回避だから
      PC上にテキストファイルでメモっておいても、実用上問題無い気がする

    • by Anonymous Coward

      > 普通に売ってるのだが(out of stockだけど)

      お、おう……

    • by Anonymous Coward

      クラウドファンディングという仕組みが登場しても、
      すぐに換骨奪胎されて情弱向けガラパゴスビジネスに堕してしまう日本国定期

      • こういうのに「ガラパゴスビジネス」という語を使うの、
        本当の ガラパゴスビジネス [galapagos.jp] している会社に迷惑だし失礼じゃないですかね。

        親コメント
      • by Anonymous Coward

        初期のKickstarterでも中国輸入品を大量に買うための資金集めで使ってる例はあったので、ガラパゴスでもなんでもない。

        • by Anonymous Coward

          でも、革新的な製品の製造のための資金調達っていう正しい使い道も結構あるよね、Kickstarterは。
          makuakeとかそんなあるっけ?

          - すでに製品化しているものの輸入販売
          - 大量生産がすでに確定している商品の予約販売
          - ただの寄付集め

          くらいしかみた事ない。

  • by Anonymous Coward on 2023年06月27日 15時49分 (#4485073)

    意味が分からない。どこが連続量なんだ?

    • by Anonymous Coward

      それな。
      「アナログ」が,前時代的だけどプリミティブで忘れられていたもので
      今となってはちょっとイカスなにか,の意味で使われているような誤用が
      あちこちで散見すると見受けられる今日この頃ですな。

      • by Anonymous Coward

        アナログじゃなくてアナクロならまだ理解できるんだが。

    • by Anonymous Coward

      電気を使わない機器が「アナログ」と呼ばれる時代なんですよ。

      ...たぶん。

      • by Anonymous Coward
        • by Anonymous Coward

          > 迷惑メール防止のため、「@」を「_atmark_」と表示しています。
          > メールをお送りになる際には、「_atmark_」を「@」(半角)に直してください。

          こういうのって効果あるんですかね。

          迷惑メールだけじゃなくて、意味ある「ご相談やご要望、ご質問等」も
          減っちゃいそうに思います。

          費用対効果というか、迷惑メール削減効果と有効活用阻害効果を定量的に
          比較してほしい。

      • by Anonymous Coward

        「アナログゲーム」のアナログは完全にそういう意味ですよね。
        そういう用例はすでに存在してるし一部では定着してる。

        • by Anonymous Coward

          「アナログ」なゲームって何でしょうね。
          カードゲームにしてもボードゲームにしてもパズルゲームにしても(以下省略)、デバイスに曖昧さなんて無い気がしますが。

      • by Anonymous Coward

        電気を使わない機器が「アナログ」と呼ばれる時代なんですよ。

        ...たぶん。

        (銀塩)フィルムカメラを「アナログカメラ」と呼ばれると、もにょる...。

        まあ、ニコンFMシリーズなどなら電気を使わなくても撮影できるけど。
        露出? 勘露出とかセノガイドとか。ネガなら28mmか35mmつけてF11まで絞って1/125で撮ればどうにかなる。

    • by Anonymous Coward

      「課金」と同じだ。
      本来の意味を知らない奴らが勘違いしたまま使っているうちに、ほぼ定着してしまったんだ

  • by Anonymous Coward on 2023年06月27日 16時09分 (#4485087)

    パスワードは文字種より長さの方が重要って言われて久しいと思いましたが、どうでしょ。
    X^Yで、Xを増やすよりYを増やすほうが空間拡大には効果的ということで。数字や記号を使わせるのは、辞書攻撃への耐性を高めるように見えて、覚えられなくなるから使いまわしの危険も増える。それなら英文字だけで最低文字数を大きくした方が強くなる、という議論。
    この道具で一文字ずつ変換するのは、長いパスワードではしんどそうなのでどうかな、と思います。

  • by Anonymous Coward on 2023年06月27日 16時13分 (#4485092)

    買う意味

    • by Anonymous Coward

      ゆで卵やお茶だって買う奴いるだろ。

  • by Anonymous Coward on 2023年06月27日 16時28分 (#4485101)

    短波放送で読み上げてくれる?

  • by Anonymous Coward on 2023年06月27日 17時02分 (#4485128)

    似たようなものなら
    Off The Grid [grc.com]
    これを使えば印刷代だけで暗号表が作れちゃう

  • by Anonymous Coward on 2023年06月27日 17時06分 (#4485136)

    単純なパスワードを数回重ねるだけで暗号強化!

  • by Anonymous Coward on 2023年06月27日 17時47分 (#4485161)

    紛失した場合でも専用のWebサイトにてシリアルナンバーとメールアドレスを入力することで、再発行が可能だとしている。

    この辺に脆弱性があって一気に無駄になる、というオチの可能性について。

  • by Anonymous Coward on 2023年06月27日 19時02分 (#4485210)

    結局あまりに脆弱すぎてワンタイムパスワードを生成するカード型デバイスに置き換えられた

  • by Anonymous Coward on 2023年06月27日 20時13分 (#4485249)

    常にされてしまうのね

  • by Anonymous Coward on 2023年06月28日 9時53分 (#4485437)

    カードのシリアル番号から再発行してもらえるそうだけど、
    >PassCardを紛失した場合は、webサイトにアクセスし、……

    webサイトにアクセスするためのパソコンのパスワードをこのカードで作ってると詰むね。

  • by Anonymous Coward on 2023年06月28日 17時59分 (#4485769)

    記号混在でも8文字程度じゃ弱すぎる
    元の単語が長いと換字の手間がかかるから短くなるのは必然

    適当な単語3つ並べて16文字の方が強い
    まあパスワードマネージャーって話なんだが

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...