IT関連

【IT】「パスワードは複雑さより長さが大切」 FBIが指南

1: ニライカナイφ ★ 2020/03/02(月) 16:58:24.45

パスワードは複雑にする必要はない。ただ長くすればいい――。米連邦捜査局(FBI)のそんな勧告が話題になっている。根拠としているのは、米国立標準技術研究所(NIST)がまとめた最新版のガイドライン。破られにくく、かつ覚えやすい文字列を作り出すため、パスワードではなく「パスフレーズ」の使用を勧めている。

これまでパスワードといえば、アルファベットの大文字と小文字、数字や記号を使ってできるだけ複雑にするのが望ましいとされてきた。ところがNISTの勧告では、パスワードの複雑さよりも、長さの方が、ずっと大切だと説く。

そこで、長くてしかも覚えやすい文字列をつくりだす手段として提言しているのが、複数の単語を組み合わせたり文章をつなげたりするパスフレーズ。FBIは強いパスフレーズの一例として、「VoicesProtected2020WeAre」「DirectorMonthLearnTruck」などを挙げている。大文字と小文字の使用や記号の使用は必須としない。長さについては15文字以上を推奨している。そこまで長い未字列を受け付けていないシステムでは、それぞれで利用できる最長のパスワードまたはパスフレーズを設定することが望ましい。

ただしパスフレーズもパスワードと同様、もちろん使い回しは禁物だ。いつ、どこで流出するかは分からないし、いったん流出すれば攻撃に利用される可能性がある。誰でも知っているようなフレーズや名言の類、歌詞なども避けなければならない。

こうした勧告の背景として、パスワードを破って企業や政府機関などのシステムに侵入しようとする攻撃の手口は多様化・巧妙化していて、情報の大量流出事件も跡を絶たない。

具体的には、辞書に載っている単語で不正ログインを試みる「辞書攻撃」や、過去に流出したIDとパスワードを利用する「パスワードリスト攻撃」、あらゆる文字列の組み合わせを総当たりで試す「ブルートフォース攻撃」といった手口が使われている。

最近では米Citrix Systemsのネットワークが不正侵入された事件で、「パスワードスプレイ攻撃」という手口が使われていたことが分かった。これはブルートフォース攻撃の一種とされ、アカウントロックなどの対策をかわしながらジワジワと責めることから検出が難しいという。

そうした攻撃を阻止するための対策として、長いパスワードが有効とされる理由は単純だ。長ければ長いほど、破るために要する時間と労力が増える。Newsweekが専門家の話として伝えたところによると、例えば7文字のパスワードなら、ハッキングソフトウェアを使ってわずか0.29ミリ秒で破られる。これが12文字になると200年近くかかる計算。そして24文字になると1800万年以上かかるという。

ただしこれはあくまでも現時点での話。クラウド、AI、機械学習、量子コンピュータなどあらゆる技術が進歩すれば、パスワード破りの技術も進歩する。やはりパスワードだけに頼れる時代は、もう長くはないのかもしれない。

https://imgc.eximg.jp/i=https%253A%252F%252Fs.eximg.jp%252Fexnews%252Ffeed%252FItmedia_news%252FItmedia_news_20200302061_3446_1.jpg,zoom=600,quality=70,type=jpg
https://www.excite.co.jp/news/article/Itmedia_news_20200302061/

14: 名無しさん@1周年 2020/03/02(月) 17:01:40.31
>>1
そして忘れてひどい目に合う

 

7: 名無しさん@1周年 2020/03/02(月) 16:59:47.79
素人ながら、組み合わせなんだから単純に長さだよな。

 

8: 名無しさん@1周年 2020/03/02(月) 16:59:50.73
だろうね知ってた

 

10: 名無しさん@1周年 2020/03/02(月) 17:00:26.39
長いほど辞書型にならないか

 

18: 名無しさん@1周年 2020/03/02(月) 17:03:20.91
VoicesProtected2020WeAreにしてみた

 

20: 名無しさん@1周年 2020/03/02(月) 17:05:36.70
長くても意味がある言葉を使うのはダメ

 

21: 名無しさん@1周年 2020/03/02(月) 17:05:57.78

サイトによってパスワードの規則が違うのが困るんだよ。
8文字以上にしろというサイトもあれば8文字以下というサイトもある。
記号を絶対入れろというサイトも、記号を入れるなというサイトもある。
さらに記号を入れろといいながら、こちらの希望する記号は使えないと言われるとか
酷いのになると過去〇回に使用したパスワードは受け付けないとか

もう
うんざり

 

29: 名無しさん@1周年 2020/03/02(月) 17:07:51.23
でもすぐに解読しちゃうんでしょ

 

30: 名無しさん@1周年 2020/03/02(月) 17:07:51.60

俺のパスワードは長いし意味不明な文字列だから絶対に安心だ

qwertyuiop@[asdfghjkl;:

こんなの絶対にバレってこないからな

 

38: 名無しさん@1周年 2020/03/02(月) 17:11:06.00

iPhoneの自動形成パスワードも12文字ぐらいある

まじでやるなら12文字

 

39: 名無しさん@1周年 2020/03/02(月) 17:11:48.37
辞書攻撃くらい安い気がするがなあフレーズだと

 

43: 名無しさん@1周年 2020/03/02(月) 17:12:47.52
太さより長さみたいな

 

45: 名無しさん@1周年 2020/03/02(月) 17:13:13.65
長さより複雑さより無制限にアタックさせないシステムが大切

 

47: 名無しさん@1周年 2020/03/02(月) 17:14:28.28
頭に大文字は必須だな

 

49: 名無しさん@1周年 2020/03/02(月) 17:17:55.69
量子コンピューターに掛かれば一瞬よ

 

53: 名無しさん@1周年 2020/03/02(月) 17:24:06.35
パスワード忘れてログイン出来ないのが困る
Mixiとか完璧忘れちゃったわ

 

55: 名無しさん@1周年 2020/03/02(月) 17:26:21.98
結局、テクニックより長さかよ

 

56: 名無しさん@1周年 2020/03/02(月) 17:26:55.96
自分の名前入れるとエラーになってしまうのもあるな

 

63: 名無しさん@1周年 2020/03/02(月) 17:32:58.14
>>56
日本人なら、自分の名前の読み方を変えるという便利な方法がある
「田中太郎」を「denchutai6」とするだけで、外国人ハッカーにはお手上げになる

 

57: 名無しさん@1周年 2020/03/02(月) 17:29:32.52
大文字含めろってのがキツい
絶対忘れる

 

64: 名無しさん@1周年 2020/03/02(月) 17:33:47.45
ブルートフォースでは短いパスワードから試していくのが普通だからね

 

68: 名無しさん@1周年 2020/03/02(月) 17:34:56.25
笑福亭鶴瓶「芸人の人気は高さより長さが大切」

 

70: 名無しさん@1周年 2020/03/02(月) 17:37:25.72
パフワード管理ソフトって使い勝手どうなの?
今一よくわからなくて、結局同じパスワード使い回してる

 

74: 名無しさん@1周年 2020/03/02(月) 17:39:46.37
>>70
管理ソフトのハックするだけで全部漏れる

 

76: 名無しさん@1周年 2020/03/02(月) 17:40:39.90
>>70
ソフト自体が信用出来ない
だから紙に書いて何処かに隠してるよ

 

77: 名無しさん@1周年 2020/03/02(月) 17:42:54.78
>>70
使ってない。
スマホにデフォルトでついてるパスワード管理機能も使わず。

 

72: 名無しさん@1周年 2020/03/02(月) 17:39:14.82
半角英数字しか使えない時点で

 

78: 名無しさん@1周年 2020/03/02(月) 17:43:21.67
パス用の手帳使ってるよ
PCとかスマホとか危なくてしゃあない

 

80: 名無しさん@1周年 2020/03/02(月) 17:44:05.35
パスワード登録する時は字数いっぱいいっぱいにしてる

 

81: 名無しさん@1周年 2020/03/02(月) 17:44:39.43
パスの管理はアナログで
かつ全部違うパスにすること

 

83: 名無しさん@1周年 2020/03/02(月) 17:46:19.87
最低8文字英数含むが定着しつつあるが面倒だ

 

89: 名無しさん@1周年 2020/03/02(月) 17:48:36.26
やべぇキャッシュカードのパスワード数字で4桁にしてるわ

 

91: 名無しさん@1周年 2020/03/02(月) 17:48:54.67
まあコンピューターは総当たりで解析するんだろうしな

 

93: 名無しさん@1周年 2020/03/02(月) 17:49:24.48

金がらみのは、概ねワンタイムパスワード式になってるから、
まず破られることは無いだろ。

ワンタイムも一致しないと、本来のパスワードが正しいかどうかわからんのだぜ?

 

95: 名無しさん@1周年 2020/03/02(月) 17:50:47.11
俺はパスワードに嫌いな上司の電話番号の11桁を入れてる
俺のパスワードが漏れる時は上司の電話番号も漏れる事になる

 

98: 名無しさん@1周年 2020/03/02(月) 17:52:58.99
googleアカウントのパスを1000文字にしようとしたら長すぎるといわれたので200文字にした
そしたらログイン時の入力フォームは200文字も入力できない仕様だったので結局100文字に落ち着いた

 

100: 名無しさん@1周年 2020/03/02(月) 17:54:24.71
インターネットバンキングだけは16ケタにしてるな。一度も変えてないけど。

 

101: 名無しさん@1周年 2020/03/02(月) 18:00:39.76
ログインに失敗したら
しばらく次のログインを受け付けないようにすればいいだけじゃないの?

 

104: 名無しさん@1周年 2020/03/02(月) 18:13:38.73
キャッシュカードは未だ4桁だけど大丈夫なのかね?
俺は生年月日にしてて200万取られたけどなww

人気の他サイト記事

人気のアンテナサイト

-IT関連
-, ,

Copyright© ムームー速報 , 2020 All Rights Reserved.