パスワードは複雑にする必要はない。ただ長くすればいい――。米連邦捜査局(FBI)のそんな勧告が話題になっている。根拠としているのは、米国立標準技術研究所(NIST)がまとめた最新版のガイドライン。破られにくく、かつ覚えやすい文字列を作り出すため、パスワードではなく「パスフレーズ」の使用を勧めている。
これまでパスワードといえば、アルファベットの大文字と小文字、数字や記号を使ってできるだけ複雑にするのが望ましいとされてきた。ところがNISTの勧告では、パスワードの複雑さよりも、長さの方が、ずっと大切だと説く。
そこで、長くてしかも覚えやすい文字列をつくりだす手段として提言しているのが、複数の単語を組み合わせたり文章をつなげたりするパスフレーズ。FBIは強いパスフレーズの一例として、「VoicesProtected2020WeAre」「DirectorMonthLearnTruck」などを挙げている。大文字と小文字の使用や記号の使用は必須としない。長さについては15文字以上を推奨している。そこまで長い未字列を受け付けていないシステムでは、それぞれで利用できる最長のパスワードまたはパスフレーズを設定することが望ましい。
ただしパスフレーズもパスワードと同様、もちろん使い回しは禁物だ。いつ、どこで流出するかは分からないし、いったん流出すれば攻撃に利用される可能性がある。誰でも知っているようなフレーズや名言の類、歌詞なども避けなければならない。
こうした勧告の背景として、パスワードを破って企業や政府機関などのシステムに侵入しようとする攻撃の手口は多様化・巧妙化していて、情報の大量流出事件も跡を絶たない。
具体的には、辞書に載っている単語で不正ログインを試みる「辞書攻撃」や、過去に流出したIDとパスワードを利用する「パスワードリスト攻撃」、あらゆる文字列の組み合わせを総当たりで試す「ブルートフォース攻撃」といった手口が使われている。
最近では米Citrix Systemsのネットワークが不正侵入された事件で、「パスワードスプレイ攻撃」という手口が使われていたことが分かった。これはブルートフォース攻撃の一種とされ、アカウントロックなどの対策をかわしながらジワジワと責めることから検出が難しいという。
そうした攻撃を阻止するための対策として、長いパスワードが有効とされる理由は単純だ。長ければ長いほど、破るために要する時間と労力が増える。Newsweekが専門家の話として伝えたところによると、例えば7文字のパスワードなら、ハッキングソフトウェアを使ってわずか0.29ミリ秒で破られる。これが12文字になると200年近くかかる計算。そして24文字になると1800万年以上かかるという。
ただしこれはあくまでも現時点での話。クラウド、AI、機械学習、量子コンピュータなどあらゆる技術が進歩すれば、パスワード破りの技術も進歩する。やはりパスワードだけに頼れる時代は、もう長くはないのかもしれない。
https://imgc.eximg.jp/i=https%253A%252F%252Fs.eximg.jp%252Fexnews%252Ffeed%252FItmedia_news%252FItmedia_news_20200302061_3446_1.jpg,zoom=600,quality=70,type=jpg
https://www.excite.co.jp/news/article/Itmedia_news_20200302061/
そして忘れてひどい目に合う
サイトによってパスワードの規則が違うのが困るんだよ。
8文字以上にしろというサイトもあれば8文字以下というサイトもある。
記号を絶対入れろというサイトも、記号を入れるなというサイトもある。
さらに記号を入れろといいながら、こちらの希望する記号は使えないと言われるとか
酷いのになると過去〇回に使用したパスワードは受け付けないとか
もう
うんざり
俺のパスワードは長いし意味不明な文字列だから絶対に安心だ
qwertyuiop@[asdfghjkl;:
こんなの絶対にバレってこないからな
iPhoneの自動形成パスワードも12文字ぐらいある
まじでやるなら12文字
Mixiとか完璧忘れちゃったわ
日本人なら、自分の名前の読み方を変えるという便利な方法がある
「田中太郎」を「denchutai6」とするだけで、外国人ハッカーにはお手上げになる
絶対忘れる
今一よくわからなくて、結局同じパスワード使い回してる
管理ソフトのハックするだけで全部漏れる
ソフト自体が信用出来ない
だから紙に書いて何処かに隠してるよ
使ってない。
スマホにデフォルトでついてるパスワード管理機能も使わず。
PCとかスマホとか危なくてしゃあない
かつ全部違うパスにすること
金がらみのは、概ねワンタイムパスワード式になってるから、
まず破られることは無いだろ。
ワンタイムも一致しないと、本来のパスワードが正しいかどうかわからんのだぜ?
俺のパスワードが漏れる時は上司の電話番号も漏れる事になる
そしたらログイン時の入力フォームは200文字も入力できない仕様だったので結局100文字に落ち着いた
しばらく次のログインを受け付けないようにすればいいだけじゃないの?
俺は生年月日にしてて200万取られたけどなww