ヘッドライン(RSS)

パスワードの専門家「大文字も数字も記号も意味がなかった」と過去の持論が間違いだったことを認める

パスワードを安全なものにするためには、アルファベットの場合は大文字と小文字を入り交ぜたり、数字や記号を加えたりすることが効果的だと考えられているわけですが、かつてこのルールを提唱していた専門家はいま、「大文字も数字も記号も、意味がなかった」と過去の発言の誤りを認めて後悔していると語っています。

驚きの後悔をWall Street Journalに語ったのは、かつてアメリカ国立標準技術研究所の所長を務め、現在は退任したビル・バー氏です。バー氏は、2003年に発表された安全なパスワードを作るためのガイドラインに携わっていた人物で、その中では「大文字と小文字を併用すること」「数字と記号を混ぜること」「定期的にパスワードを変更すること」という方法が推奨されていました。

ここで推奨されていたのが、例えばパスワードに「password」という言葉を設定していた場合だと、大文字を入れて「paSSworD」とする方法や、記号や数字を入れて「pa$$w0rD」と変化させるというもの。しかし、これらの方法は当時の現状を調査した内容に基づいているものではなく、1980年に書かれた論文の内容をもとにしたものだったため、その信頼性はあまり高くなかった模様。

また、あまり頻繁にパスワードを変更するのも良くないどころか、非効率的で、さらにはハッカーにパスワード変更のパターンを見抜かれてしまう危険すら生じるとのこと。現在72歳というバー氏はWSJに対して「私がしてきたことの多くを、今は後悔しています」と語ったそうです。

これまで推奨されてきた方法は、おそらく誰でも一度は耳にしたことがあるものであり、場合によってはパスワードを作る時に「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることもあるほど。本人自らが否定してしまった「パスワードの作り方」ですが、これとは別に推奨されているのが、複数の単語をつなげて一つの文字列にする、というもの。例えば「I want to go out and eat some ramen」(外に出かけてラーメンを食べたい)という文章をギュッと圧縮して「iwanttogooutandeatsomeramen」というふうにすれば、効率よく、しかも忘れにくい長文のパスワードを作ることができる、とのことです。

しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、別の対策を併用することも重要といえます。
http://gigazine.net/news/20170810-password/

2: 名無し@webensoku 2017/08/11(金) 17:36:59.94 ID:KHQZJRQM
銀行や証券会社のログインパスワード数ヶ月ごとに変えろと
しつこく出るが無視して同じもの使い続けてるよ。頻繁に変えたほうが
覚えやすい安易なものにする事になり危ないこと認識してるから。

145: 名無し@webensoku 2017/08/12(土) 07:19:47.79 ID:8mNThkRR
>>2
そう、変えたばっかりにパスワードを忘れて手続きに手間がかかったりする
砂金の銀行はワンタイムパスワード併用なのでパスワードはあまり気にしていない

3: 名無し@webensoku 2017/08/11(金) 17:38:48.55 ID:lehn/+o9
更に言えば頻繁にパスワード変えさせるのも意味がない

6: 名無し@webensoku 2017/08/11(金) 17:41:59.20 ID:0XDVFP4Z
もう自動生成アプリかなんかで毎回違ってもいいだろ

28: 名無し@webensoku 2017/08/11(金) 18:08:12.30 ID:gkcjKvsq
>>6
そうか、そのてがあったなw
パスワード生成管理ソフトにウィルス入れとこ

8: 名無し@webensoku 2017/08/11(金) 17:43:54.32 ID:azZtb5iV
つまり 根拠ない 都市伝説でした

107: 名無し@webensoku 2017/08/11(金) 21:18:57.28 ID:wIois3iV
>>8
昔だと間違いとは言えない。
初期のパスワードを破るプログラムは、英語の辞書に載っている単語を
使っていたからな。
ただ、その後、コンピュータの性能が上がると、全Asciiコードの
組み合わせを使うようになったので、意味がなくなった。

9: 名無し@webensoku 2017/08/11(金) 17:44:16.67 ID:ZbU+b4WC
重要なパスワードは自作のアプリケーションで自動生成してるわ

12: 名無し@webensoku 2017/08/11(金) 17:46:08.80 ID:3eIUp8EI
>>9
1pass使えよ

11: 名無し@webensoku 2017/08/11(金) 17:45:45.42 ID:BhABxTGf
最近のトレンドはとにかく長いかつ覚えやすいもの

14: 名無し@webensoku 2017/08/11(金) 17:47:21.38 ID:0RoW+yYo
通ってた学校とかもアホだな調べればわかるやんけ

15: 名無し@webensoku 2017/08/11(金) 17:50:22.78 ID:69ybVmQ5
解析するより何かの原因で漏れたパスワード使った方が労力が少ない

17: 名無し@webensoku 2017/08/11(金) 17:51:46.70 ID:gQ8Y3Jd5
ある程度自分のルールで入れたいのに制限がんじがらめで慣れないパスワード作らされると、
結局どっかでメモで残すしかなくなる

つうかうちの社内セキュリティルールがうざいのはお前のせいだったのか

19: 名無し@webensoku 2017/08/11(金) 17:55:05.58 ID:2h9wSQ8/
アマゾンや楽天はワンタイムパスワード採用してくんねーかな

23: 名無し@webensoku 2017/08/11(金) 18:02:54.80 ID:J/Fz56Ar
>>19
Amazonは二重認証だからまだ良いだろう

20: 名無し@webensoku 2017/08/11(金) 18:00:01.81 ID:WXZkF4MZ
プロバイダのログインパスワードは
初期パスワードのまま使い続けて15年ですがなにか?

112: 名無し@webensoku 2017/08/11(金) 21:23:48.07 ID:GCnEHuAc
>>20
あはは、俺も同じく。
20年前のニフティサーブのパスワード使い回してるわw

21: 名無し@webensoku 2017/08/11(金) 18:01:26.15 ID:KcjPg82Q
そんなことよりパスワードを毎回忘れる設定にして毎回書き直して行くオレ

22: 名無し@webensoku 2017/08/11(金) 18:01:30.70 ID:HMz9zmlP
ふざけて、しゃちょうしね、と入力したら、
「既に使用されているパスワードです」、って返されて笑った

24: 名無し@webensoku 2017/08/11(金) 18:05:04.02 ID:UttlGVBu
ガイドライン作った時に確たる根拠がある訳でなかったのと同様、意味がなかったとする意見もやはり確たる根拠がなかったりして。

26: 名無し@webensoku 2017/08/11(金) 18:07:03.62 ID:zICACwPR
辞書にある言葉を使うのは駄目なんだろ?

31: 名無し@webensoku 2017/08/11(金) 18:14:43.01 ID:F58HS284
人は記憶型と思考型に大別できる

総当り攻撃には1日のログイン回数を制限するだけである程度防げる
そして日本限定だが漢字やひらがなを使えるようにすればいい。桁違いの組み合わせ数になるからね

32: 名無し@webensoku 2017/08/11(金) 18:14:51.88 ID:b2ZnFSSV
パスワードを3つにすればいいんじゃないかな
1つ目認証、2つ目認証、3つ目認証でやっとログイン
銀行関係とかハッキングされるとやばいものに限定してね

38: 名無し@webensoku 2017/08/11(金) 18:23:53.22 ID:EqDn1sNo
この記事も罠で、なんらかの思考調査をパスワード盗聴でしようという魂胆だろう

46: 名無し@webensoku 2017/08/11(金) 18:33:10.71 ID:Fn7oysx9
意味がない理由がわからん。一応パターン増えてるんじゃねえか

51: 名無し@webensoku 2017/08/11(金) 18:39:42.05 ID:TR2lRm24
確かに頻繁にパスワード変えるのは対身内にしか意味ないよな

52: 名無し@webensoku 2017/08/11(金) 18:41:04.30 ID:ZMTGXxTC
誰に対してのセキュリティかだよな
以前いた同僚に対してなら頻繁にパスワードを変えるのは意味がある

53: 名無し@webensoku 2017/08/11(金) 18:42:12.91 ID:7+7OO1XC
覚えにくいパスワードを
わざわざ作る人は少数派だ

54: 名無し@webensoku 2017/08/11(金) 18:44:16.36 ID:MlY07+XK
windows 10 とかデフォルト設定だとMSに色々情報送ってるから
着々とキーワードは集積されてるよね

57: 名無し@webensoku 2017/08/11(金) 18:49:36.09 ID:/rg6U6Y9
確かに人間が一つ一つ打ち込むんじゃなくて機械による総当たりなら
大文字だろうが記号だるが全部ただのコードだから関係ないな

59: 名無し@webensoku 2017/08/11(金) 18:55:44.32 ID:qLshVTYg
量子コンピューターの前には無意味

60: 名無し@webensoku 2017/08/11(金) 18:58:25.46 ID:6p7wjcYf
総当たりさせない仕組みでおk
バカなのか?
1回ミスったらあさって来やがれ!くらいでよい

61: 名無し@webensoku 2017/08/11(金) 19:02:24.81 ID:U5/TUegr
パスワード作成  で検索して記号 数字 アルファベット大文字小文字 
入れるか入れないか 選択して ランダムなヤツ作らせて使ってる

こんな感じのやつ →  Qy=2{Uf7.0/F’`:l(<GI5);3<;*}#p1
もちろん 自分では覚えられない・・ (´・ω・`)

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

ヘッドライン(RSS)