【IT】「パスワードは複雑さより長さが大切」 FBIが指南
■ このスレッドは過去ログ倉庫に格納されています
パスワードは複雑にする必要はない。ただ長くすればいい――。米連邦捜査局(FBI)のそんな勧告が話題になっている。根拠としているのは、米国立標準技術研究所(NIST)がまとめた最新版のガイドライン。破られにくく、かつ覚えやすい文字列を作り出すため、パスワードではなく「パスフレーズ」の使用を勧めている。
これまでパスワードといえば、アルファベットの大文字と小文字、数字や記号を使ってできるだけ複雑にするのが望ましいとされてきた。ところがNISTの勧告では、パスワードの複雑さよりも、長さの方が、ずっと大切だと説く。
そこで、長くてしかも覚えやすい文字列をつくりだす手段として提言しているのが、複数の単語を組み合わせたり文章をつなげたりするパスフレーズ。FBIは強いパスフレーズの一例として、「VoicesProtected2020WeAre」「DirectorMonthLearnTruck」などを挙げている。大文字と小文字の使用や記号の使用は必須としない。長さについては15文字以上を推奨している。そこまで長い未字列を受け付けていないシステムでは、それぞれで利用できる最長のパスワードまたはパスフレーズを設定することが望ましい。
ただしパスフレーズもパスワードと同様、もちろん使い回しは禁物だ。いつ、どこで流出するかは分からないし、いったん流出すれば攻撃に利用される可能性がある。誰でも知っているようなフレーズや名言の類、歌詞なども避けなければならない。
こうした勧告の背景として、パスワードを破って企業や政府機関などのシステムに侵入しようとする攻撃の手口は多様化・巧妙化していて、情報の大量流出事件も跡を絶たない。
具体的には、辞書に載っている単語で不正ログインを試みる「辞書攻撃」や、過去に流出したIDとパスワードを利用する「パスワードリスト攻撃」、あらゆる文字列の組み合わせを総当たりで試す「ブルートフォース攻撃」といった手口が使われている。
最近では米Citrix Systemsのネットワークが不正侵入された事件で、「パスワードスプレイ攻撃」という手口が使われていたことが分かった。これはブルートフォース攻撃の一種とされ、アカウントロックなどの対策をかわしながらジワジワと責めることから検出が難しいという。
そうした攻撃を阻止するための対策として、長いパスワードが有効とされる理由は単純だ。長ければ長いほど、破るために要する時間と労力が増える。Newsweekが専門家の話として伝えたところによると、例えば7文字のパスワードなら、ハッキングソフトウェアを使ってわずか0.29ミリ秒で破られる。これが12文字になると200年近くかかる計算。そして24文字になると1800万年以上かかるという。
ただしこれはあくまでも現時点での話。クラウド、AI、機械学習、量子コンピュータなどあらゆる技術が進歩すれば、パスワード破りの技術も進歩する。やはりパスワードだけに頼れる時代は、もう長くはないのかもしれない。
https://imgc.eximg.jp/i=https%253A%252F%252Fs.eximg.jp%252Fexnews%252Ffeed%252FItmedia_news%252FItmedia_news_20200302061_3446_1.jpg,zoom=600,quality=70,type=jpg
https://www.excite.co.jp/news/article/Itmedia_news_20200302061/ 素人ながら、組み合わせなんだから単純に長さだよな。 (♧◑ω◑)☞♡☜(◐ω◐♧)agkupdptwmdgq1247j 2016年にちんぽが炎症に!@ソープ帰り
みてえなのをローマ字にすればいいんかえ? 人は記憶型と思考型に大別できる
漢字を使え
英数字だけだと一桁で100文字に満たない
漢字だと数千文字になる VoicesProtected2020WeAreにしてみた サイトによってパスワードの規則が違うのが困るんだよ。
8文字以上にしろというサイトもあれば8文字以下というサイトもある。
記号を絶対入れろというサイトも、記号を入れるなというサイトもある。
さらに記号を入れろといいながら、こちらの希望する記号は使えないと言われるとか
酷いのになると過去〇回に使用したパスワードは受け付けないとか
もう
うんざり じゅげむじゅげむ〜中略〜ちょうすけ
とか
みずらことのせいめいは〜中略〜きよじょともうしはべるなり
なら完璧ってこと? unkochinpomanko
どうだ、十分長いだろう、とでも言えと? パスワードの規則を作っている連中は
普通の人間がこれをできるとでも思ってるのだろうか?
https://www.youtube.com/watch?v=rERApU26PcA 俺のパスワードは長いし意味不明な文字列だから絶対に安心だ
qwertyuiop@[asdfghjkl;:
こんなの絶対にバレってこないからな じゅげむじゅげむ ごこうのすりきれ
かいじゃりすいぎょのすいぎょうまつうんらいまつふうらいまつ
くうねるところにすむところ やぶらこうじのぶらこうじ
ぱいぽぱいぽぱいぽのしゅーりんがん しゅーりんがんのぐーりんだい
ぐーりんだいのぽんぽこぴーのぽんぽこなのちょうきゅうめいのちょうすけ
はやはり最強だったか まあ結局はpcちゃんが全部やるからね
時間が伸びるだけ iPhoneの自動形成パスワードも12文字ぐらいある
まじでやるなら12文字 kimigayoha1000yoni8000yonisazare-ishiNOiwaotonarite Zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzaiueo700
順番に総当たりするんならとか強そう そら使える文字種の数の桁数乗倍の組み合わせ数だからな。
何らかの推論入れてるのでなければ、めっちゃ複雑な五桁のパスワードより1111...とかで20桁とかの方が 理論上は時間がかかる
まぁ、問題はマシンパワーがあればそれでも誤差でしかないことだが 長さより複雑さより無制限にアタックさせないシステムが大切 >>32
error: 半角で入力してください
error: アルファベットの大文字・小文字、数字、記号を含める必要があります 11111111111111111111111111111111111111
↑これなら大丈夫やろwww 昔観たMr.Boo!の映画で、テンキー式ボタンのパスワードがhappy birthdayの曲で、何回も何回も打ち込むシーンがあったわ。 桁数を上げればいいんなら、
CHIMPOCHIMPOCHIMPOCHIMPOCHIMPOCHIMPO....... パスワード忘れてログイン出来ないのが困る
Mixiとか完璧忘れちゃったわ 和歌とか小説の1行目とか、好きな歌とか、ガチで便利
↓
error 8〜20文字で入力してください >>19
これ、やばいだろw
後ろの看板711だしw
炎上するぞw >>56
日本人なら、自分の名前の読み方を変えるという便利な方法がある
「田中太郎」を「denchutai6」とするだけで、外国人ハッカーにはお手上げになる ブルートフォースでは短いパスワードから試していくのが普通だからね つまりカリ高とか色とか太さとか固さとか関係なく
長い方が良いということですねわかりました パスワード頻繁に変える必要はないって話はどうなったの? じゃ安倍晋三イエーイでもいいのかな
15に足りんかダメだこりゃ パフワード管理ソフトって使い勝手どうなの?
今一よくわからなくて、結局同じパスワード使い回してる ( ゚∀゚)
( ∩ミ ほーら、パスワードが長すぎるよ
| ω |
し ⌒J なんやあのわけわからんコンピューターが実現したら一瞬で解かれるんやろ
パスワードどうするんやろ >>70
ソフト自体が信用出来ない
だから紙に書いて何処かに隠してるよ >>70
使ってない。
スマホにデフォルトでついてるパスワード管理機能も使わず。 パス用の手帳使ってるよ
PCとかスマホとか危なくてしゃあない パスワード登録する時は字数いっぱいいっぱいにしてる パスの管理はアナログで
かつ全部違うパスにすること 最強パスワード
wwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww abababababababababaaaaaaとかでもいいのかな。 ぶっちゃけ、メールに全ID全PWのメモ入ってるw
a3/x9! =abcdefg3333/Xyz987654321! みたいに自分にしか判らん部分表記だけど
>>79
PCエンジンGTで濁音と半濁音が識別できないのですが・・ 馬路レスすると
abe4neabe4ne
はかなりセキュリティーが高い
アルファベットと数字の複合って意味で やべぇキャッシュカードのパスワード数字で4桁にしてるわ ワイのパスワード
Fujikofujikofujiko まあコンピューターは総当たりで解析するんだろうしな いまだにあるのがパスワードの文字数表記していない所と
パスワードの貼り付け禁止しているサイト
今はパスワード管理ソフトあるんだから(´・ω・`) 金がらみのは、概ねワンタイムパスワード式になってるから、
まず破られることは無いだろ。
ワンタイムも一致しないと、本来のパスワードが正しいかどうかわからんのだぜ? おぼえられないなら同じ文字列を数回並べるのでもいいか 俺はパスワードに嫌いな上司の電話番号の11桁を入れてる
俺のパスワードが漏れる時は上司の電話番号も漏れる事になる 関係ないけど
自分で考えるパスワードって適当に選んでても同じアルファベットを使いがちになるんだよな googleアカウントのパスを1000文字にしようとしたら長すぎるといわれたので200文字にした
そしたらログイン時の入力フォームは200文字も入力できない仕様だったので結局100文字に落ち着いた >>96
「ウソの38」というのが有って
数字でウソをつく時に3と8がよく使われるという インターネットバンキングだけは16ケタにしてるな。一度も変えてないけど。 ログインに失敗したら
しばらく次のログインを受け付けないようにすればいいだけじゃないの? キャッシュカードは未だ4桁だけど大丈夫なのかね?
俺は生年月日にしてて200万取られたけどなww 漢字平仮名カタカナ使えれば敵なしだろうけど
アルファベットでもローマ字で日本語の文章にしたらかなり強力にならないか? >>92
スマホとかになるとむしろ入力見られるショルダーハックも結構なリスクなのでなあ root password
admin password
で大概侵入できる 長さが長い男は子宮の入口に当たって痛い
時間が長い男は疲れるし痛くなる 俺は11桁だけど大丈夫だろうか
何の意味もないやつにしてるけど >>15
>>17
それは良い案だと思う。
でも自分の名前をパスワードにする馬鹿が出てくるだろうw 普通に様々な言語を同時利用できるようにすればいいだけ。
なんで英数だけが多いのか? >>19
古い写真だな
昭和の頃は普通に見られた光景 バッファローのルーターのログインパスワードの桁数少なすぎる
8文字制限いい加減やめてほしいわ
この時点で購入検討対象から外れる 覚えられないし
どっかに保存するか紙に書いたら
もっと危ないし >>116
メモ帳に書いて家に置いてるけどこれヤバいのか?
これもってかれるレベルってそれ以上の実害でてると思うが oppaimomimomichinkochupachu8 11451419198109800334tdnyjsndbですか? >>14
大事な俺のコレクションが、見れなくなったぁぁっっ >>1
昔やってたとあるブラウザゲーのランカーさんはパスワード70文字以上って言ってたなあ オンラインサービスだと、未だに文字数制限が厳しいところがあるし。
こっちはマネージャー使ってきっちり管理してても
ある日突然、パスワードが間違ってるとか言われる。
すげーイイカゲンなんだよな。 warewarewauchujinndakorekaraomaerawokorosu >>127
パスワード8文字までのレンタカー屋があったわ。
普段サイト毎のパスフレーズにしてるから、8文字までのパスワードなんて覚えられんw
> ある日突然、パスワードが間違ってるとか言われる。
それ、フィッシングサイトに引っ掛かったんじゃ… 前から同じ単語を3つぐらい使って間に⁄を挟んで無理やり長くしてたけど正解だったのか >>129
違う。
パスワードは20文字くらいのもんだろう、とか適当に
フロントエンドで入力を切り捨てたりするんだよ。
仕様化されていないちょっとした改変の影響で突然撥ねられたりする。
パスワードが長かったり、いろいろな文字種を使った複雑ものを設定してる奴程影響が出やすい。 私の知り合い、Macのパスワードを勝手に
私の生年月日に設定してるのよ、どう思う?
生年月日の侵害や。 長大で複雑怪奇なパスワードにしたあげく、覚えきれずアプリに記録させてワンボタンでログインするようになったりする・・・ >>134
Macユーザーに流行りの呪いの儀式だわそれ つまりチンコと同じで、長さが重要な事が証明された訳ですね。
短小はやっぱり何でもダメって事だ! ■ このスレッドは過去ログ倉庫に格納されています
