1 :名無しの大学生 2017/08/11(金) 17:32:45.83 ID:CAP_USER.net
パスワードを安全なものにするためには、アルファベットの場合は大文字と小文字を入り交ぜたり、数字や記号を加えたりすることが効果的だと考えられているわけですが、かつてこのルールを提唱していた専門家はいま、「大文字も数字も記号も、意味がなかった」と過去の発言の誤りを認めて後悔していると語っています。

驚きの後悔をWall Street Journalに語ったのは、かつてアメリカ国立標準技術研究所の所長を務め、現在は退任したビル・バー氏です。バー氏は、2003年に発表された安全なパスワードを作るためのガイドラインに携わっていた人物で、その中では「大文字と小文字を併用すること」「数字と記号を混ぜること」「定期的にパスワードを変更すること」という方法が推奨されていました。

ここで推奨されていたのが、例えばパスワードに「password」という言葉を設定していた場合だと、大文字を入れて「paSSworD」とする方法や、記号や数字を入れて「pa$$w0rD」と変化させるというもの。しかし、これらの方法は当時の現状を調査した内容に基づいているものではなく、1980年に書かれた論文の内容をもとにしたものだったため、その信頼性はあまり高くなかった模様。

また、あまり頻繁にパスワードを変更するのも良くないどころか、非効率的で、さらにはハッカーにパスワード変更のパターンを見抜かれてしまう危険すら生じるとのこと。現在72歳というバー氏はWSJに対して「私がしてきたことの多くを、今は後悔しています」と語ったそうです。

これまで推奨されてきた方法は、おそらく誰でも一度は耳にしたことがあるものであり、場合によってはパスワードを作る時に「パスワードには少なくとも大文字アルファベットを1文字入れてください」などと強制されることもあるほど。本人自らが否定してしまった「パスワードの作り方」ですが、これとは別に推奨されているのが、複数の単語をつなげて一つの文字列にする、というもの。例えば「I want to go out and eat some ramen」(外に出かけてラーメンを食べたい)という文章をギュッと圧縮して「iwanttogooutandeatsomeramen」というふうにすれば、効率よく、しかも忘れにくい長文のパスワードを作ることができる、とのことです。

しかしこれとて、総当たり攻撃を受ければいつかは必ずヒットしてしまうもの。そのため、可能な場合はパスワードだけでなく2段階認証を利用するなど、別の対策を併用することも重要といえます。
http://gigazine.net/news/20170810-password/
25 :名無しの大学生 2017/08/11(金) 18:06:07.49 ID:o9JXJ57x.net
脱いで詫びろ
94 :名無しの大学生 2017/08/11(金) 20:44:17.20 ID:KrMdzYUf.net
漢字を使わせろ
以上
2 :名無しの大学生 2017/08/11(金) 17:36:59.94 ID:KHQZJRQM.net
銀行や証券会社のログインパスワード数ヶ月ごとに変えろと
しつこく出るが無視して同じもの使い続けてるよ。頻繁に変えたほうが
覚えやすい安易なものにする事になり危ないこと認識してるから。
145 :名無しの大学生 2017/08/12(土) 07:19:47.79 ID:8mNThkRR.net
>>2
そう、変えたばっかりにパスワードを忘れて手続きに手間がかかったりする
砂金の銀行はワンタイムパスワード併用なのでパスワードはあまり気にしていない
62 :名無しの大学生 2017/08/11(金) 19:03:01.77 ID:g4f/C2uT.net
俺も銀行のパスワードかえろって出るけど一度も変えてないw
3 :名無しの大学生 2017/08/11(金) 17:38:48.55 ID:lehn/+o9.net
更に言えば頻繁にパスワード変えさせるのも意味がない
79 :名無しの大学生 2017/08/11(金) 19:53:58.57 ID:YYAcaK6p.net
>>3
俺はそう思わない
ひょんな事でパス漏れしていた時、パスを変更すれば恒常的な不正アクセスを遮断できる。
146 :名無しの大学生 2017/08/12(土) 07:57:00.47 ID:w4j2StN2.net
>>79
それはパスワードが原因のセキュリティ問題じゃ無くね?
162 :名無しの大学生 2017/08/12(土) 09:53:20.52 ID:FqrJzaZt.net
>>79
バスワード奪われた時点で終わりだから
4 :名無しの大学生 2017/08/11(金) 17:39:01.55 ID:McWZg1DX.net
ベースパスワード+サイトごとの識別子
6 :名無しの大学生 2017/08/11(金) 17:41:59.20 ID:0XDVFP4Z.net
もう自動生成アプリかなんかで毎回違ってもいいだろ
111 :名無しの大学生 2017/08/11(金) 21:23:39.76 ID:eKCIdSnp.net
>>6
ネット銀行だとワンタイムバスワードだよね
生体認証はよ
126 :名無しの大学生 2017/08/11(金) 23:26:30.01 ID:Q0ZSahxL.net
>>111
あれ仕組み分からん
178 :名無しの大学生 2017/08/12(土) 12:22:18.00 ID:rIBjml1y.net
>>126
> >>111
> あれ仕組み分からん

ややこしい乱数発生器を作る。
乱数発生のシードをネット銀行が保管する。各口座ごとにシードは変える。
口座番号に対応したシードのトークを郵送。

同じシードからは、同じ乱数の数列が出るので、1分に1回とか順次発行していけば、答え合わせが出来る。
トロイ奴がいるから、前後5分くらいはOKにしてると思われ。
5 :名無しの大学生 2017/08/11(金) 17:40:28.23 ID:NVuFnFgC.net
辞書に載ってない言葉が良いんだっけ?
8 :名無しの大学生 2017/08/11(金) 17:43:54.32 ID:azZtb5iV.net
つまり 根拠ない 都市伝説でした
107 :名無しの大学生 2017/08/11(金) 21:18:57.28 ID:wIois3iV.net
>>8
昔だと間違いとは言えない。
初期のパスワードを破るプログラムは、英語の辞書に載っている単語を
使っていたからな。
ただ、その後、コンピュータの性能が上がると、全Asciiコードの
組み合わせを使うようになったので、意味がなくなった。
9 :名無しの大学生 2017/08/11(金) 17:44:16.67 ID:ZbU+b4WC.net
重要なパスワードは自作のアプリケーションで自動生成してるわ
12 :名無しの大学生 2017/08/11(金) 17:46:08.80 ID:3eIUp8EI.net
>>9
1pass使えよ
42 :名無しの大学生 2017/08/11(金) 18:28:46.00 ID:fOln4api.net
>>9
俺もだ
だが3重バックアップの同時故障で終わったw
4重にしておけ
43 :名無しの大学生 2017/08/11(金) 18:30:56.54 ID:eMShJvh2.net
>>42
非常用なのはUSBメモリに入れるか携帯電話の中に入れておいたらよいかと
10 :名無しの大学生 2017/08/11(金) 17:44:45.49 ID:jPIKNjfj.net
量子コンピュータが一般的に普及しだしたらどうなるんだろな
量子暗号鍵とか言い出してるけども一般的に普及すんのかな
今の暗号鍵なんて一瞬で解かれることになるし
11 :名無しの大学生 2017/08/11(金) 17:45:45.42 ID:BhABxTGf.net
最近のトレンドはとにかく長いかつ覚えやすいもの
13 :名無しの大学生 2017/08/11(金) 17:46:15.03 ID:1hxmVga0.net
07211919
163 :名無しの大学生 2017/08/12(土) 09:55:28.57 ID:pcxPwP9f.net
>>13

おいばかやめろ
14 :名無しの大学生 2017/08/11(金) 17:47:21.38 ID:0RoW+yYo.net
通ってた学校とかもアホだな調べればわかるやんけ
18 :名無しの大学生 2017/08/11(金) 17:52:51.66 ID:ZAULns3Q.net
オレはトークンだから関係ないな
19 :名無しの大学生 2017/08/11(金) 17:55:05.58 ID:2h9wSQ8/.net
アマゾンや楽天はワンタイムパスワード採用してくんねーかな
23 :名無しの大学生 2017/08/11(金) 18:02:54.80 ID:J/Fz56Ar.net
>>19
Amazonは二重認証だからまだ良いだろう
20 :名無しの大学生 2017/08/11(金) 18:00:01.81 ID:WXZkF4MZ.net
プロバイダのログインパスワードは
初期パスワードのまま使い続けて15年ですがなにか?
112 :名無しの大学生 2017/08/11(金) 21:23:48.07 ID:GCnEHuAc.net
>>20
あはは、俺も同じく。
20年前のニフティサーブのパスワード使い回してるわw
113 :名無しの大学生 2017/08/11(金) 21:41:22.64 ID:FWt1gtoq.net
>>112
お前は俺か
143 :名無しの大学生 2017/08/12(土) 06:56:13.96 ID:cTfplFeu.net
>>113
お前も俺か
俺Newebのパスワードだわ
17 :名無しの大学生 2017/08/11(金) 17:51:46.70 ID:gQ8Y3Jd5.net
ある程度自分のルールで入れたいのに制限がんじがらめで慣れないパスワード作らされると、
結局どっかでメモで残すしかなくなる

つうかうちの社内セキュリティルールがうざいのはお前のせいだったのか
36 :名無しの大学生 2017/08/11(金) 18:21:14.06 ID:yVkGLh0S.net
>>1
おまえのせいで
今じゃ嫌がらせかと思うほどに めんどくせーくらいに
大文字小文字数字混在強制のパスワード社会になってんだぞ。
反省しろ。
22 :名無しの大学生 2017/08/11(金) 18:01:30.70 ID:HMz9zmlP.net
ふざけて、しゃちょうしね、と入力したら、
「既に使用されているパスワードです」、って返されて笑った
24 :名無しの大学生 2017/08/11(金) 18:05:04.02 ID:UttlGVBu.net
ガイドライン作った時に確たる根拠がある訳でなかったのと同様、意味がなかったとする意見もやはり確たる根拠がなかったりして。
31 :名無しの大学生 2017/08/11(金) 18:14:43.01 ID:F58HS284.net
人は記憶型と思考型に大別できる

総当り攻撃には1日のログイン回数を制限するだけである程度防げる
そして日本限定だが漢字やひらがなを使えるようにすればいい。桁違いの組み合わせ数になるからね
32 :名無しの大学生 2017/08/11(金) 18:14:51.88 ID:b2ZnFSSV.net
パスワードを3つにすればいいんじゃないかな
1つ目認証、2つ目認証、3つ目認証でやっとログイン
銀行関係とかハッキングされるとやばいものに限定してね
101 :名無しの大学生 2017/08/11(金) 20:57:50.74 ID:HlipD71w.net
結局人間が覚えやすいものは機械にとっても破り易いんだろう
自分でパス考える時代はそろそろ終わるのかも

>>32
それなら3つ分合わせた長い1つのパスワードにした方がいい
長いの一回当てるほうが時間が掛かる
33 :名無しの大学生 2017/08/11(金) 18:16:31.49 ID:BhABxTGf.net
今時ブルートフォース通るとこなんかまずないから、複雑ならいいってもんでもない。
流出したときは問題になるので、サイトごと、サービスごとにパスワードを変えておくことは必要。
16 :名無しの大学生 2017/08/11(金) 17:50:27.95 ID:fbTyNLNg.net
日本語の文章をローマ字入力してる

Haikyoumoshigotodesuyo

とか、

orenopasokonnougokashikata


とかにしてる。
忘れない為に
34 :名無しの大学生 2017/08/11(金) 18:20:32.77 ID:eMShJvh2.net
この長い文章方式も駄目だと思う、パスワード解析するのに仮に最初の8文字で
何らかの単語が発見された場合、総当たりの前に長文のデーターベース参考にして
アタックされたら破られるスピードは大差ないかと
38 :名無しの大学生 2017/08/11(金) 18:23:53.22 ID:EqDn1sNo.net
この記事も罠で、なんらかの思考調査をパスワード盗聴でしようという魂胆だろう
40 :名無しの大学生 2017/08/11(金) 18:26:15.47 ID:Lb57z50R.net
ソープの姉さんの源氏名にしてる。
毎月別の姐さんに変更。

結局、法則制を如何に失わせるかだよな
41 :名無しの大学生 2017/08/11(金) 18:26:22.30 ID:eMShJvh2.net
システム的に(ノ∀`)アチャーと思うのは
・精々16桁まで(現在では総当りで破りやすい)

・サイト内で移動ごとにパスワードを聞いてくる
・パスワードの再入力に手動で1文字づつ打つように要求
・頻繁にパスワードの変更を要求
上記の3つはパスワードの単純化を招いてアウト

・IDがメールアドレス
メールアドレスは割れやすく解析のきっかけになる

という具合の殆どのサイトがアウト、結果的に今現状ではモバイル機器での二段認証が
一番確実なんだが、これでも今現状は過渡期としか言えない
44 :名無しの大学生 2017/08/11(金) 18:31:09.79 ID:7+7OO1XC.net
パスワードを8文字として
小文字と大文字と数字を併用した場合
総当たりに掛かる時間は
小文字だけの場合の約1000倍
50 :名無しの大学生 2017/08/11(金) 18:38:50.46 ID:WyJPpkPa.net
文字列が長く量が多ければ多いほどハックされないてのは真理
さらに無意味な羅列であればあるほど良い
71 :名無しの大学生 2017/08/11(金) 19:16:57.02 ID:cF6sJEKs.net
大文字小文字数字記号で10文字以上の総当りはどのぐらいで破られる?
74 :名無しの大学生 2017/08/11(金) 19:23:53.55 ID:24UfKCSc.net
>>71
ここでチェック
https://password.kaspersky.com/jp/
81 :名無しの大学生 2017/08/11(金) 19:56:51.62 ID:zUd+MmUA.net
何度も間違えればロックアウトされるから、十分有効と思うが
80 :名無しの大学生 2017/08/11(金) 19:56:10.40 ID:iQ1I3ui2.net
総当たり攻撃をスルーするサイトなら、何やってもだめ
48 :名無しの大学生 2017/08/11(金) 18:36:51.72 ID:cOC++yKM.net
変にころうとした結果、一般人は忘れにくいように単純な組み合わせばかりパスワードに使うようになってしまった。
結果、ハカーは簡単にパスを破れるようになったという。
53 :名無しの大学生 2017/08/11(金) 18:42:12.91 ID:7+7OO1XC.net
覚えにくいパスワードを
わざわざ作る人は少数派だ
110 :名無しの大学生 2017/08/11(金) 21:21:35.37 ID:VK9E4LmQ.net
俺のATMは0001だからな
お前ら真似するな、俺と被るからな
106 :名無しの大学生 2017/08/11(金) 21:13:29.93 ID:zj/+7epc.net
サーファーは大体1173
192 :名無しの大学生 2017/08/12(土) 13:35:37.51 ID:CwIz5BHW.net
一番ムカつくのは、パスワード登録の時にコピペ禁止、手打ち強制のとこ。
70 :名無しの大学生 2017/08/11(金) 19:16:21.81 ID:8P1+jJD9.net
パスワードとかいらなくない?
たまにしか使わないから度忘れしちゃって
今年だけで2回もパソコン買い替えてるわ
52 :名無しの大学生 2017/08/11(金) 18:41:04.30 ID:ZMTGXxTC.net
誰に対してのセキュリティかだよな
以前いた同僚に対してなら頻繁にパスワードを変えるのは意味がある
51 :名無しの大学生 2017/08/11(金) 18:39:42.05 ID:TR2lRm24.net
確かに頻繁にパスワード変えるのは対身内にしか意味ないよな
182 :名無しの大学生 2017/08/12(土) 12:50:36.64 ID:+s04mRBq.net
爺さんばかりの職場とかIDとパスワードが壁にデカデカと貼ってあったりする
191 :名無しの大学生 2017/08/12(土) 13:32:16.82 ID:tsv3eeLy.net
パスワード自体が意味がない
108 :名無しの大学生 2017/08/11(金) 21:20:34.14 ID:t2jbjF5c.net
一番の問題は安全と思ってるパスワード1つを
あらゆるサイトで使ってるやつだろ