質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.52%

  • セキュリティー

    463questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

語句のほうが良い理由

解決済

回答 3

投稿

  • 評価
  • クリップ 3
  • VIEW 613

aaaaaaaa

score 469

2003年、米国の業界規格設定を手掛ける国立標準技術研究所(NIST)の中間管理職だったバー氏は「NISTスペシャルパブリケーション800-63 別表A」を作成した。8ページのこの文書は、インターネットで使うアカウントを守る方法として、パスワードに記号や大文字や数字を盛り込み、定期的に変更するよう勧めていた。

連邦政府機関や大学や大手企業は、パスワード設定の規則を検討する際にこの文書を頼るようになった。

だがバー氏は、アドバイスは結果的にほとんど間違っていたと話す。90日ごとにパスワードを変更するとなると、推測されやすい小幅な変更にとどめる人が大半だという。「Pa55word!1」を「Pa55word!2」に変えただけではハッカーを防げない。

また、小文字や数字や大文字、感嘆符や疑問符などの特殊文字を組み合わせるという、指が絡まりそうなアドバイスも的外れだった。

既に退職したバー氏は「今では自分がしたことの多くを悔やんでいる」と話す。

「800-63」は今年6月に全面改定され、パスワードに関する指令の最悪の部分は捨て去られた。改定には2年かかった。作業を担当したNISTのポール・グラッシ氏によれば、改定は当初、簡単な編集で終わると考えられていた。

いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない。これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」とグラッシ氏は述べている。

今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ。

こちらによると小文字や大文字が交ざった認証番号よりも語句のていをなした認証番号のほうが支持されているそうです。"覚えやすい"ということもあると思うのですが

漫画家のランドール・マンロー氏は、広く見られている作品の中で、「correct horse battery staple」を1つの単語に見立てたパスワードを破るのに550年かかると計算している。これに対し、バー氏の古い規則を使った典型的なパスワードの一例、「Tr0ub4dor&3」は3日で破られる可能性がある。マンロー氏の計算はコンピューターセキュリティー専門家の検証を受けている。

この漫画家とそれに付き合った専門家によれば大文字、小文字、数字、記号が交じった認証番号よりも語句のような認証番号のほうが破りにくいそうです。これは、文字数が多いほうが総当たり攻撃に時間が掛かるからでしょうか。
それともほかに理由があるのでしょうか。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

checkベストアンサー

+5

パスワードは長くランダムにするほど強固になることは明白なのですが、そのようなパスワードは記憶することが困難です。なので、ユーザーがパスワードを決める場合には、「覚えやすいが破られにくい」というバランスをとることが重要です。
そのような方法として、選択肢の一つにパスフレーズがあります。パスフレーズとは、単語ではなく、文章の形でパスワードにすることです。パスフレーズは、単語としてのパスワードより長いので入力に手間は掛かるという欠点がありますが、覚えすくしやすいというメリットがあります。
しかし、パスフレーズが、その長さの分だけ単純計算で強固になるわけではありません。利用者がパスフレーズを使っていることがわかっている場合(あるいは仮定できる場合)、辞書攻撃によりパスワード推測が可能になる場合があります。なので、辞書に乗っているような単語だけからなる文章ではなく、少しひねったほうが良いと思います。例えば、英単語を日本語のローマ字に変えるなどです。単語としてのパスワードの場合、少しひねっただけではあまり安全にならないと言われます(たとえば a → @ の換字)が、パスフレーズに混ぜる単語の入れ替えだと、他の語句も同時に正答しなければいけないため、強固になる度合いは大きいです。

前述のように、パスフレーズ方式はメリットもあればデメリットもあるため、他の方式に比べて「明らかに優れている」というものではありません。利用者が、状況に応じて使い分ければよいのです。

そのような観点からサイト運営者(あるいはソフトウェアの企画・開発者)がパスワードの仕様を決める際に留意するべき点は、「利用者の様々なパスワードポリシーを尊重し、できるだけ邪魔しないようにする」ということです。日本のウェブサイトは、やたら文字種の制約が厳しい(例: 英字・数字・記号の3酒を全部混ぜること)のに、パスワード長の最大長が短い(例: 最大8文字)場合が多いので、利用者が様々なパスワードポリシーを採用することができません。たとえば、パスフレーズを採用することが難しいケースが多いです。
海外のウェブサイトだと、逆にパスワードの最大長が長く(例: 255文字)、パスワードの文字種はあまり制限しないケースが多いように見受けます(もちろん例外もあります)。私は、この方が望ましいと思います。

私自身は、パスワード管理ツールを使っているため、パスフレーズは使っていません。つまり、「覚えやすい必要がない」からです。パスワード管理ツールを使っている場合は、ランダムなパスワードを運用することが容易なので、過度に長くしなくても十分な強度が得られます。パスワード管理ツールの対応していない端末も使うことを考えると、過度に長いパスワードは使いづらいので、「ランダムにする代わりに長さはほどほど」のパスワードを使っています。
一方で、パスフレーズを使いたいというユーザーの希望も尊重されるべきであり、前記のようなパスワード仕様が望ましいと考える理由です。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

漫画の方はビット数で数えているので総当りのようですね。

辞書を使った攻撃もあるので、どちらが時間がかかるか一概にはいえないのでは無いでしょうか。
と書いてから計算してみたら、結構な差がでました。

一般の辞書が数万語くらいでしょうから、少なく1万語で見積もって4個の単語で1×10^16のパターンがあります。また、記号交じりの方は2^28≒2.7×10^8ですから結構差が出ます。

パスワードの単語に固有名詞や英語以外を混ぜるとクラッキング用の辞書の単語数は桁が上がるでしょうから、実際には単語をたくさん使った方がずいぶん強固だとわかります。

自分で計算してみて「なるほどな~」と感心しました。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.52%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • セキュリティー

    463questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。