パスワードを安全なものにするためと考えられていた、アルファベットの大文字と小文字、数字や記号を入り交ぜる行為は意味がないという。

驚きの後悔をWall Street Journalに語ったのは、かつてアメリカ国立標準技術研究所の所長を務め、現在は退任したビル・バー氏です。バー氏は、2003年に発表された安全なパスワードを作るためのガイドラインに携わっていた人物で、その中では「大文字と小文字を併用すること」「数字と記号を混ぜること」「定期的にパスワードを変更すること」という方法が推奨されていました。

ここで推奨されていたのが、例えばパスワードに「password」という言葉を設定していた場合だと、大文字を入れて「paSSworD」とする方法や、記号や数字を入れて「pa$w0rD」と変化させるというもの。しかし、これらの方法は当時の現状を調査した内容に基づいているものではなく、1980年に書かれた論文の内容をもとにしたものだったため、その信頼性はあまり高くなかった模様。

また、あまり頻繁にパスワードを変更するのも良くないどころか、非効率的で、さらにはハッカーにパスワード変更のパターンを見抜かれてしまう危険すら生じるとのこと。現在72歳というバー氏はWSJに対して「私がしてきたことの多くを、今は後悔しています」と語ったそうです。

これまで推奨されてきた方法は、おそらく誰でも一度は耳にしたことがあるものであり、場合によってはパスワードを作る時に「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることもあるほど。本人自らが否定してしまった「パスワードの作り方」ですが、これとは別に推奨されているのが、複数の単語をつなげて一つの文字列にする、というもの…

続きはソース元で
http://gigazine.net/news/20170810-password/


スポンサードリンク
8:名刺は切らしておりまして 2017/08/11(金) 17:43:54.32 ID:azZtb5iV

つまり 根拠ない 都市伝説でした


27:名刺は切らしておりまして 2017/08/11(金) 18:07:26.29 ID:ZCZHsN+A

よかった大文字入力するのめんどくさいから全部小文字にしてたんだw


17:名刺は切らしておりまして 2017/08/11(金) 17:51:46.70 ID:gQ8Y3Jd5

ある程度自分のルールで入れたいのに制限がんじがらめで慣れないパスワード作らされると、
結局どっかでメモで残すしかなくなる

つうかうちの社内セキュリティルールがうざいのはお前のせいだったのか


36:名刺は切らしておりまして 2017/08/11(金) 18:21:14.06 ID:yVkGLh0S

>>1
おまえのせいで
今じゃ嫌がらせかと思うほどに めんどくせーくらいに
大文字小文字数字混在強制のパスワード社会になってんだぞ。
反省しろ。


25:名刺は切らしておりまして 2017/08/11(金) 18:06:07.49 ID:o9JXJ57x

脱いで詫びろ


57:名刺は切らしておりまして 2017/08/11(金) 18:49:36.09 ID:/rg6U6Y9

確かに人間が一つ一つ打ち込むんじゃなくて機械による総当たりなら
大文字だろうが記号だるが全部ただのコードだから関係ないな


46:名刺は切らしておりまして 2017/08/11(金) 18:33:10.71 ID:Fn7oysx9

意味がない理由がわからん。一応パターン増えてるんじゃねえか


44:名刺は切らしておりまして 2017/08/11(金) 18:31:09.79 ID:7+7OO1XC

パスワードを8文字として
小文字と大文字と数字を併用した場合
総当たりに掛かる時間は
小文字だけの場合の約1000倍


50:名刺は切らしておりまして 2017/08/11(金) 18:38:50.46 ID:WyJPpkPa

文字列が長く量が多ければ多いほどハックされないてのは真理
さらに無意味な羅列であればあるほど良い


24:名刺は切らしておりまして 2017/08/11(金) 18:05:04.02 ID:UttlGVBu

ガイドライン作った時に確たる根拠がある訳でなかったのと同様、意味がなかったとする意見もやはり確たる根拠がなかったりして。


6:名刺は切らしておりまして 2017/08/11(金) 17:41:59.20 ID:0XDVFP4Z

もう自動生成アプリかなんかで毎回違ってもいいだろ


9:名刺は切らしておりまして 2017/08/11(金) 17:44:16.67 ID:ZbU+b4WC

重要なパスワードは自作のアプリケーションで自動生成してるわ


12:名刺は切らしておりまして 2017/08/11(金) 17:46:08.80 ID:3eIUp8EI

>>9
1pass使えよ

1Password
無料
評価:4.5

1Password-SS


11:名刺は切らしておりまして 2017/08/11(金) 17:45:45.42 ID:BhABxTGf

最近のトレンドはとにかく長いかつ覚えやすいもの


13:名刺は切らしておりまして 2017/08/11(金) 17:46:15.03 ID:1hxmVga0

07211919


16:名刺は切らしておりまして 2017/08/11(金) 17:50:27.95 ID:fbTyNLNg

日本語の文章をローマ字入力してる

Haikyoumoshigotodesuyo

とか、

orenopasokonnougokashikata


とかにしてる。
忘れない為に


53:名刺は切らしておりまして 2017/08/11(金) 18:42:12.91 ID:7+7OO1XC

覚えにくいパスワードを
わざわざ作る人は少数派だ


15:名刺は切らしておりまして 2017/08/11(金) 17:50:22.78 ID:69ybVmQ5

解析するより何かの原因で漏れたパスワード使った方が労力が少ない


19:名刺は切らしておりまして 2017/08/11(金) 17:55:05.58 ID:2h9wSQ8/

アマゾンや楽天はワンタイムパスワード採用してくんねーかな


23:名刺は切らしておりまして 2017/08/11(金) 18:02:54.80 ID:J/Fz56Ar

>>19
Amazonは二重認証だからまだ良いだろう


32:名刺は切らしておりまして 2017/08/11(金) 18:14:51.88 ID:b2ZnFSSV

パスワードを3つにすればいいんじゃないかな
1つ目認証、2つ目認証、3つ目認証でやっとログイン
銀行関係とかハッキングされるとやばいものに限定してね


33:名刺は切らしておりまして 2017/08/11(金) 18:16:31.49 ID:BhABxTGf

今時ブルートフォース通るとこなんかまずないから、複雑ならいいってもんでもない。
流出したときは問題になるので、サイトごと、サービスごとにパスワードを変えておくことは必要。


41:名刺は切らしておりまして 2017/08/11(金) 18:26:22.30 ID:eMShJvh2

システム的に(ノ∀`)アチャーと思うのは
・精々16桁まで(現在では総当りで破りやすい)

・サイト内で移動ごとにパスワードを聞いてくる
・パスワードの再入力に手動で1文字づつ打つように要求
・頻繁にパスワードの変更を要求
上記の3つはパスワードの単純化を招いてアウト

・IDがメールアドレス
メールアドレスは割れやすく解析のきっかけになる

という具合の殆どのサイトがアウト、結果的に今現状ではモバイル機器での二段認証が
一番確実なんだが、これでも今現状は過渡期としか言えない


49:名刺は切らしておりまして 2017/08/11(金) 18:37:16.25 ID:JlUCmtoA

だから日本国内の主要企業は漢字かな交じりにしろとあれほど・・
今使っている暗号化ソフトのパスワードはこの漢字かな交じりが適用出来るすぐれもの。
例:「雨が降ったらサシコとAKBしたい」。
日本人なら覚えやすく日本語キーのあるキーボードでないと書くことができない最強パスワードだぞ。
しかも漢字ならアルファベットに比較できないくらいの組み合わせがある。


48:名刺は切らしておりまして 2017/08/11(金) 18:36:51.72 ID:cOC++yKM

変にころうとした結果、一般人は忘れにくいように単純な組み合わせばかりパスワードに使うようになってしまった。
結果、ハカーは簡単にパスを破れるようになったという。


40:名刺は切らしておりまして 2017/08/11(金) 18:26:15.47 ID:Lb57z50R

ソープの姉さんの源氏名にしてる。
毎月別の姐さんに変更。

結局、法則制を如何に失わせるかだよな


52:名刺は切らしておりまして 2017/08/11(金) 18:41:04.30 ID:ZMTGXxTC

誰に対してのセキュリティかだよな
以前いた同僚に対してなら頻繁にパスワードを変えるのは意味がある


51:名刺は切らしておりまして 2017/08/11(金) 18:39:42.05 ID:TR2lRm24

確かに頻繁にパスワード変えるのは対身内にしか意味ないよな


55:名刺は切らしておりまして 2017/08/11(金) 18:44:20.70 ID:Fn7oysx9

秘密の合言葉もいい加減にしろよ
ド素人でもソーシャルハックに使われるって簡単に想像できる。だから
「好きな映画は」→「ランダム文字列」という風に
一切、「好きな映画」と関連性がない単語を入れる必要に迫られる。
秘密の合言葉を複数設定しろとか言ってくるサイトは全部それだ。
ふざけんなよ


86:名刺は切らしておりまして 2017/08/11(金) 20:25:19.88 ID:LcS+TpXM

銀行や証券会社のパスワード確認画面で、


生まれた都市の名前は?
お母さんの旧姓は?
座右の銘は?

とか個人情報を聞き出す質問が続くので、うっとおしい。
みずほ銀行
お前だよ
うざいんだよ
個人情報を聞き出そうとするなよ
なんでお前の銀行に、俺の生まれた都市や母親の旧姓とかの個人情報を教えなきゃならんのだ?
お前ごときの銀行に教えるのは、英数字意味不明パスワードで十分だ


89:名刺は切らしておりまして 2017/08/11(金) 20:36:50.17 ID:uxKAjyxl

>>86
「出身校は?」
ってのもあるけど、こう言うシステムを作るやつは絶望的に頭が悪いな
なんでかと言うと、小学校、中学校、大学のバリエーション
さらに、東京、東京大学、tokto、Tokyo、TOKYOとさらにバリエーションがあるから
設定した直後ならわかるかもしれないけど、時間が経てば忘れる


77:名刺は切らしておりまして 2017/08/11(金) 19:33:28.76 ID:eMShJvh2

出来ればパスワードの形式だけでも統一して欲しいわ
記号英文大文字小文字数字全部入れて32ぐらい
コピペOKで

そうした方が実際は被害は防げるだろ


76:名刺は切らしておりまして 2017/08/11(金) 19:26:26.13 ID:06l+5Wjd

>>1
定期的にパスワード変更はマジでいみがないからやめよう

大文字なり数字なり記号なりは、まあパスワードの転用防止にもなるから一概に無意味とはいえないかな
でも結局転用しちゃうんだけどね


70:名刺は切らしておりまして 2017/08/11(金) 19:16:21.81 ID:8P1+jJD9

パスワードとかいらなくない?
たまにしか使わないから度忘れしちゃって
今年だけで2回もパソコン買い替えてるわ


73:名刺は切らしておりまして 2017/08/11(金) 19:23:40.07 ID:ZlfFZDP+

現在はパスワードの頻繁な変更よりも

携帯等を使った二段階認証が今のところ最良とされてるようだね


元スレ: http://egg.2ch.sc/test/read.cgi/bizplus/1502440365/