◆ New Entries

パスワードの専門家「大文字混ぜるとか定期的に変更するとか推奨してきたけど、ぜーんぶ意味無かったわwwwメンゴメンゴ」


パスワードの専門家が「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める
パスワードを安全なものにするためには、アルファベットの場合は大文字と小文字を入り交ぜたり、数字や記号を加えたりすることが効果的だと考えられているわけですが、かつてこのルールを提唱していた専門家はいま、「大文字も数字も記号も、意味がなかった」と過去の発言の誤りを認めて後悔していると語っています。

驚きの後悔をWall Street Journalに語ったのは、かつてアメリカ国立標準技術研究所の所長を務め、現在は退任したビル・バー氏です。バー氏は、2003年に発表された安全なパスワードを作るためのガイドラインに携わっていた人物で、その中では「大文字と小文字を併用すること」「数字と記号を混ぜること」「定期的にパスワードを変更すること」という方法が推奨されていました。

ここで推奨されていたのが、例えばパスワードに「password」という言葉を設定していた場合だと、大文字を入れて「paSSworD」とする方法や、記号や数字を入れて「pa$$w0rD」と変化させるというもの。
しかし、これらの方法は当時の現状を調査した内容に基づいているものではなく、1980年に書かれた論文の内容をもとにしたものだったため、その信頼性はあまり高くなかった模様。

また、あまり頻繁にパスワードを変更するのも良くないどころか、非効率的で、さらにはハッカーにパスワード変更のパターンを見抜かれてしまう危険すら生じるとのこと。現在72歳というバー氏はWSJに対して「私がしてきたことの多くを、今は後悔しています」と語ったそうです。

これまで推奨されてきた方法は、おそらく誰でも一度は耳にしたことがあるものであり、場合によってはパスワードを作る時に「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることもあるほど。本人自らが否定してしまった「パスワードの作り方」ですが、これとは別に推奨されているのが、複数の単語をつなげて一つの文字列にする、というもの。例えば「I want to go out and eat some ramen」(外に出かけてラーメンを食べたい)という文章をギュッと圧縮して「iwanttogooutandeatsomeramen」というふうにすれば、効率よく、しかも忘れにくい長文のパスワードを作ることができる、とのことです。

しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、別の対策を併用することも重要といえます。
http://gigazine.net/news/20170810-password/


 
4 :
2017/08/11(金) 22:36:05.07
本当に申し訳ないと思ってるなら世界中の企業に今すぐやめさせろ、大文字混ぜるのを強制するのを

7 :
2017/08/11(金) 22:37:16.10
こいつのせいでmysqlの初期パスワード設定が糞みたいにめんどくさくなったの?

8 :
2017/08/11(金) 22:37:34.52
なんで意味がないのかソースを読んでも書かれてないんだけど
単なる英単語よりは総当り攻撃に強くなるんじゃないの?


53 :
2017/08/11(金) 22:51:43.29
>>8
総当り攻撃なら単なる英単語も大文字数字記号入りも危険度変わらんってこと


12 :
2017/08/11(金) 22:37:58.08
コンシューマ向けで真に受けてるのAppleくらいしか知らないわ

14 :
2017/08/11(金) 22:39:28.51
PINもたいして意味なかったわとか言うんじゃねえだろうな

15 :
2017/08/11(金) 22:40:08.42
いや、お前ら楽したくて大小文字記号に意味がないと信じたいだけだろ?
意味がないという根拠もないのに


19 :
2017/08/11(金) 22:40:56.08
コンピューターの進化で今後パス破りが社会問題化してくるだろう
胸が熱くなるな


21 :
2017/08/11(金) 22:41:39.11
8文字パスなら素人が総当たりツール使って一晩で抜けるって昔聞いたわ
何混ぜようがクソなもんはクソ
ただひたすらにパスワード長くする方がマシ、なんなら工夫した8文字よりもa×30文字のがつよい


22 :
2017/08/11(金) 22:41:42.75
変更しろとか表示しておきながら以前使ったパスワードは駄目なってサイトホントいい加減にして><

26 :
2017/08/11(金) 22:42:01.94
Yahoo!のログイン履歴見たら中国からログインされてたんだけど
怖いからパスワード変えたわ


28 :
2017/08/11(金) 22:42:15.30
ガラケーのメールアドレスを無駄に長く複雑にするのは迷惑メール対策に結構効果あったよな

41 :
2017/08/11(金) 22:46:58.29
要は長ければ長いほどいいってだけなんだよなこれ

47 :
2017/08/11(金) 22:50:34.40
意味がないのは総当りされるからであって
2段階認証なら文字は何でもいいってことだろ?


50 :
2017/08/11(金) 22:51:08.13
自分の過ちを認めるとか日本人じゃ無理だわ

55 :
2017/08/11(金) 22:51:55.60
総当たりなら時間さえかければどんなパスワードでも突破出来るよね
その時間を稼ぐという意味では有効なんじゃないのか?


56 :
2017/08/11(金) 22:51:59.50
定期的に変更した後狙い撃ちされたら意味がない

58 :
2017/08/11(金) 22:52:32.90
まあ最もほとんどのサイトで総当たりなんて無理だけどね
数回失敗したら弾かれる


64 :
2017/08/11(金) 22:54:21.11
意味ないわけ無いだろ
お前ら統計のとの字も知らんのか?


66 :
2017/08/11(金) 22:54:41.71
ウェブサイトのパスワードクラックにブルートフォースが通用することが
マジで意味不明なんだけど1分につき10回までしか入力できないとか
不審なアクセス続くとロックされるとかなんで多くのサイトではそういう仕様になってないの
大手でもツイッターとかブルートフォースでアカウント乗っ取られまくってるけどおかしいだろ
俺も8文字パスワードにしてたら乗っ取られたし


72 :
2017/08/11(金) 22:55:37.61
>>66
ブルートフォースは無理だよ。それ別のサイトで使いまわしてただろ


67 :
2017/08/11(金) 22:55:01.03
彼女や友人向けの対策としてはありでしょ
それより全世界のログインシステムがこいつのせいで無駄にややこしくなったのはほんと死んでほしい


69 :
2017/08/11(金) 22:55:14.10
クソワロタwww

73 :
2017/08/11(金) 22:55:47.49
複雑な意味不明文字列が最強ってことか
パスワードはメモっとくと
セキュリティ必要な場所だって部外者立ち入りさせなきゃええねん


78 :
2017/08/11(金) 22:57:24.90
>>73
だから複雑なのはハッキングの前では意味がないっつってんだろ


85 :
2017/08/11(金) 23:00:00.89
数ヶ月ごとにイントラサイトにアクセスするためのパスワードを変更させるうちの会社をどうにかしてくれ

88 :
2017/08/11(金) 23:00:13.62
コスパ悪過ぎなんだよ

92 :
2017/08/11(金) 23:01:32.08
メモ帳が最強なんだが

94 :
2017/08/11(金) 23:02:11.79
総当たりの時点で複雑だろうが小文字オンリーだろうが変わりはないというのが理解できない池沼がいるようだな

103 :
2017/08/11(金) 23:05:58.22
WDなんて推奨どころか強制だったんだが

104 :
2017/08/11(金) 23:05:59.44
それよりも画像認証やめろ面倒臭い何回車選んだり道路標識選ばないかんのじゃ

113 :
2017/08/11(金) 23:08:09.50
>>104
画像認証ってwやSとかUが大文字か小文字か分からないよな
あれって欧米人には区別できてるんだろうか


108 :
2017/08/11(金) 23:06:43.26
何も考えずにキーボード適当に叩いて作ったパスワードが一番いんじゃないの
それでも破られるときには破られるだろうが


111 :
2017/08/11(金) 23:07:17.59
やっぱメモ現物が最強だろ

117 :
2017/08/11(金) 23:08:52.82
>>111
実際その通りだよ。
パソコンの大先生はバカにするけど。


123 :
2017/08/11(金) 23:11:30.41
>>111
カメラに写ったら終わりだけどな


114 :
2017/08/11(金) 23:08:11.21
これは人間のパスワードの付け方の傾向を利用したパスワードクラックに有効なだけで総当り攻撃には意味がない、という意味でいいんか?

115 :
2017/08/11(金) 23:08:11.25
結局どういう破られ方を想定するかだよね
それによって対応も変わる


116 :
2017/08/11(金) 23:08:45.64
糞林檎のパスワードめんどくさすぎる

122 :
2017/08/11(金) 23:11:09.34
パスワードなんて覚える必要ないだろ

124 :
2017/08/11(金) 23:12:15.66
どうせ、付箋をモニタに貼り付けているのだから意味がない
頻繁に変えるならよりその傾向が高くなる


129 :
2017/08/11(金) 23:13:18.05
>>124
何言ってんだ
おまえバカだろ


131 :
2017/08/11(金) 23:13:31.97
秘密の質問ってセキュリティ的にかなりやばいと思うんだけど
なんで廃止されないんだ


137 :
2017/08/11(金) 23:16:30.59
>>131
質問の答えをAIが理解してほんとの内容になったら意味なくなるからあんなのなくなるだろな


144 :
2017/08/11(金) 23:20:40.20
未だに8文字以内とかの制限あるサイトあるけど、頭おかしい

145 :
2017/08/11(金) 23:22:05.16
何文字以上、以下って場所によって違うから使い回しも不可能なんだよな
もうパスワードようメモ帳に書いてるわ


146 :
2017/08/11(金) 23:22:33.44
使うサービスごとにパス変えるのが一番大事だね

148 :
2017/08/11(金) 23:23:27.07
ハッキングの一番の驚異は知らない人物じゃなくて身近な人物だろ。
身近な人間は辞書アタックなんてしないから、大文字小文字混ぜてなおかつ単語と誕生日など
本人から推測できるパスワードは使わないのが正解


150 :
2017/08/11(金) 23:25:12.16
漢字圏は漢字使えるようにすりゃいいだろ
夜露死苦
こんなパスワードでも毛唐には突破困難


153 :
2017/08/11(金) 23:27:03.68
昔まだエキチャが流行ってた頃はどこもブルートフォース使えた
今から考えると信じられんが
抜き放題見放題だったな
ネットバンクとかヤフオクとか普及してなかったから旨味もなかったが・・・


154 :
2017/08/11(金) 23:27:23.21
たまにある記号強制は困るからやめてほしい

158 :
2017/08/11(金) 23:33:36.48
10年前から変更していないパスでネットアクセスしてるが問題ない
社内のパスも期間で強制変更が来るが変更後もう一度同じ元のパスに変えて戻す
漏らすような行動が問題であってパスの難解さは一定以上なら大丈夫だろ


161 :
2017/08/11(金) 23:34:36.47
絶対的なパスワードなどない
所詮は時間稼ぎだ


163 :
2017/08/11(金) 23:35:57.28
変えたてだって総当たられるんだから意味ないもんね

164 :
2017/08/11(金) 23:35:57.99
暗号を過信しすぎると取り返しがつかなくなるいい例としてエニグマが挙げられる
所詮は力技で突破されるもの


165 :
2017/08/11(金) 23:36:25.10
前に某メールサービスに海外から入られてたのはビックリした
こんな大手でもこんな簡単に入られるのかよと
どこでも使ってないアカにも迷惑メール来るし絶対安全ってないもんだな


166 :
2017/08/11(金) 23:36:32.76
大文字強制とかむしろパターン減るとは想ってた

168 :
2017/08/11(金) 23:38:26.91
定期変更はそれなりに意味あるんじゃねえの
例えばメールのパスがいつの間にか流出してて覗き見されてたら
定期変更でそっからのメールは見られずに済む


171 :
2017/08/11(金) 23:39:39.44
いくら複雑なパスにしても
行儀の悪いハッシュ化されてるかも分からんしな
今時はさすがに大丈夫だと思いたいけど


174 :
2017/08/11(金) 23:40:49.42
んじゃもうパスワードいらないじゃん

181 :
2017/08/11(金) 23:46:25.94
パスワード管理アプリって意味あるの?
そんなサービス提供してるって公言したらアタックの対象にされるだけじゃないの?
実質1つのパスワードしか使ってないということだろ?


193 :
2017/08/11(金) 23:53:30.43
日本語入力させろよ
steamがやたらしつこくメール送ってきてウザい


197 :
2017/08/12(土) 00:00:57.69
パス管理ソフトのバッグアップってどうしてる?
クラウドじゃなくてやっぱ物理メディア?
なんか無くしそうで怖いんよね
パス管理ソフトのパスワードは比較的簡単なんにしてるからクラウドが流出したらやばいなぁと思って


200 :
2017/08/12(土) 00:04:31.42
何回ミスッたら停止ってのはある個人から見れば安全性が高まったように見えるが
サイトの運営者にとってはほとんど変わらんからな
攻撃者は大量にあるアカウント候補をカウントリセット期日を跨ぐように上限-1を
試行し続ければいいわけやから


214 :
2017/08/12(土) 00:20:27.04
パスワード認証失敗の回数でロックをかけるようにすると
今度は利用者のアカウントへの失敗ログインをわざと繰り返してそいつにログインできなくさせるという
利用者へのサービス不能攻撃のリスクが出てくるんだよね


217 :
2017/08/12(土) 00:23:44.18
総当たりすりゃわかるんだろうけど
今のハイエンドPC程度で8桁以上の総当たりするのに一体どれだけ時間がかかるんだ


222 :
2017/08/12(土) 00:38:44.88
>>217
暗号化ファイルの解読ならともかく
ログインの場合は同一IDでのパスワード入力はPCのスペックや回線速度に関係なく一回入力ごとにちょっと待たさせるように設計されてる
だから普通に考えたら総当りなんて無理なんだけどね


218 :
2017/08/12(土) 00:25:42.17
パスワード管理ツールじゃだめなん?

俺は芋づる式に漏れるのが嫌で1サイトごとにpass変えてるけど
管理ツール使わないとやりきれない


219 :
2017/08/12(土) 00:27:39.42
むしろウイルスに掛かったPCでパス変更したら丸見えじゃん

224 :
2017/08/12(土) 00:39:53.70
うちの会社
大文字小文字記号を含めたパスをつけて
さらにパスは別メールで知らせろってルールなんだが

全くどれも意味ないんか?


226 :
2017/08/12(土) 00:42:07.99
銀行でも使うワンタイムパスワードが最強
めんどくさいけどな


227 :
2017/08/12(土) 00:44:18.51
メール添付zipのことなら誤送信対策で別途のメールで送るという企業はあるがこれは賛否両論
企業向けファイル共有のサービスの特定相手に公開する機能のほうが安全だけど使いたがるところはまだ少ないな


229 :
2017/08/12(土) 00:47:49.05
暗証番号が4桁の数字しか入力できないのやめろ
銀行とクレカとドコモとスマホロック使いまわしてるやつ絶対多いだろ


232 :
2017/08/12(土) 00:52:23.34
秘密の質問て何の意味があるの?
あれ覚えてる奴少ないだろ


240 :
2017/08/12(土) 00:57:40.70
2chの.dat→茶筌→単語分ち書き→ローマ字化→ローマ字複数表記生成→ソート・重複除去
こんなの普通に誰でもやることだからw
スクリプトキディには無理だろうけど


241 :
2017/08/12(土) 00:58:39.51
秘密の質問はちゃんと答えちゃだめ
小学校の名前は?に対して
田中小学校なら
たなかしょうがっこう とか たなしょう とかにして破られにくくする


245 :
2017/08/12(土) 01:02:47.67
なんか極端だなあ
短期間での変更はあまり意味ないけど
記号入れるとかは辞書攻撃対策として当然だろ


246 :
2017/08/12(土) 01:03:42.89
せっかく日本人はひらがなカタカナ漢字と
複雑な文字使いこなしてるんだからこれらを解禁すればいい
さすがに総当りじゃ破るの不可能だろ


248 :
2017/08/12(土) 01:06:18.45
昔AppleiD破られまくって困ったわ
どんなパスワードにしても突破してくるし


252 :
2017/08/12(土) 01:15:44.94
責任取れよ5千万くらいで許すわ

253 :
2017/08/12(土) 01:16:23.87
パスのハッキングとかできねえから
1つ1つサーバーに何度もアクセスして調べたら弾かれるだろ
馬鹿が多いな、デジタルの作りをわかってねえ


254 :
2017/08/12(土) 01:16:59.63
今パスワードマネージャー起動したらアカウント数が163個あったわw
人間の頭でパスワードを管理するという発想をまず辞めろw


265 :
2017/08/12(土) 01:24:22.39
せっかくのお盆休みに論破されて発狂して世界中からソース探そうと躍起になってるキチガイいるな

285 :
2017/08/12(土) 01:38:54.30
記憶のしやすさとエントロピーを両立することは情報理論的に不可能だから人間の記憶を使うなってのが論理的帰結

286 :
2017/08/12(土) 01:39:36.69
合言葉の使用考えた奴は死んで良い

296 :
2017/08/12(土) 01:45:21.82
ID:wNMCQ4T80ちゃんは自分で旗色が悪いと気づき出してるから
ここからは最後にレスした方が勝ちゲームに突入するぞ


297 :
2017/08/12(土) 01:46:17.83
絶対大文字入れろとか記号入れろとかいうサイトあるよねウザい
案の定忘れる


299 :
2017/08/12(土) 01:47:57.36
パスワードよりもクレカ番号が漏れる方が怖い
番号だけで決済通るし、返金されるとは言え引き落としもされる
5万円分勝手に使われて面倒だったわ


307 :
2017/08/12(土) 01:53:39.98
攻撃する側は小文字大文字混じってるかどうか分からないから、やるなら小文字大文字入り混じった総当りするわな
実際のパスワードが小文字のみだったかどうかは関係ない


312 :
2017/08/12(土) 01:56:05.02
>>307
JtRですら自動で小文字のみの組み合わせを全部やってから大文字入れに行くけど
マジでバカの考えることは凄いな


314 :
2017/08/12(土) 01:57:37.40
本物の馬鹿なんだな
世の中の暗号全て分かってる体で「さああとはパスワード探しするだけです」って言ってるんだもんなw
しかも20数レス全部w


318 :
2017/08/12(土) 02:00:07.51
>>314
本物のバカなればこそ秘密の暗号アルゴリズムを使っておけば最強とか妄想出来ちゃうのなw

その安全性をどうやって証明したんだ?
安全性が証明されている暗号の数は限られているんだよ、猿


316 :
2017/08/12(土) 01:58:27.36
いつも思うけどさ ハッカーが自分の情報を盗む確率ってすごく低いだろ むしろゼロだろ 何でわざわざ俺の情報を盗むのかって考えるとパスワードとか別にどうでもいいわけなんですよ。 有りもしない恐怖に怯えてろよ馬鹿共

319 :
2017/08/12(土) 02:00:36.59
>>316
お前のお友達にプリペイドカード買って貰うねん


関連記事
スポンサーサイト
FC2公認の男性用高額求人サイトが誕生!
稼ぎたい男子はここで仕事を探せ!
デリヘルもソープもイメクラも気に入った子がきっと見つかる
超大型リニューアル中の大好評風俗情報サイト!

コメント

※自動フィルタが有効なので、禁止ワードが入ってるコメントは投稿できません…
※その禁止ワードは何か?管理人にもわかりません。FC2に聞いてください。
お名前
テキスト

トラックバック

トラックバックURL: http://newskenm.blog.fc2.com/tb.php/65227-591f8339