Q&A
2003年、米国の業界規格設定を手掛ける国立標準技術研究所(NIST)の中間管理職だったバー氏は「NISTスペシャルパブリケーション800-63 別表A」を作成した。8ページのこの文書は、インターネットで使うアカウントを守る方法として、パスワードに記号や大文字や数字を盛り込み、定期的に変更するよう勧めていた。
連邦政府機関や大学や大手企業は、パスワード設定の規則を検討する際にこの文書を頼るようになった。
だがバー氏は、アドバイスは結果的にほとんど間違っていたと話す。90日ごとにパスワードを変更するとなると、推測されやすい小幅な変更にとどめる人が大半だという。「Pa55word!1」を「Pa55word!2」に変えただけではハッカーを防げない。
また、小文字や数字や大文字、感嘆符や疑問符などの特殊文字を組み合わせるという、指が絡まりそうなアドバイスも的外れだった。
> 既に退職したバー氏は「今では自分がしたことの多くを悔やんでいる」と話す。
> 「800-63」は今年6月に全面改定され、パスワードに関する指令の最悪の部分は捨て去られた。改定には2年かかった。作業を担当したNISTのポール・グラッシ氏によれば、改定は当初、簡単な編集で終わると考えられていた。
> いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない。これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」とグラッシ氏は述べている。
> 今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ。
こちらによると小文字や大文字が交ざった認証番号よりも語句のていをなした認証番号のほうが支持されているそうです。"覚えやすい"ということもあると思うのですが
漫画家のランドール・マンロー氏は、広く見られている作品の中で、「correct horse battery staple」を1つの単語に見立てたパスワードを破るのに550年かかると計算している。これに対し、バー氏の古い規則を使った典型的なパスワードの一例、「Tr0ub4dor&3」は3日で破られる可能性がある。マンロー氏の計算はコンピューターセキュリティー専門家の検証を受けている。
この漫画家とそれに付き合った専門家によれば大文字、小文字、数字、記号が交じった認証番号よりも語句のような認証番号のほうが破りにくいそうです。これは、文字数が多いほうが総当たり攻撃に時間が掛かるからでしょうか。
それともほかに理由があるのでしょうか。
回答3件
0
ベストアンサー
パスワードは長くランダムにするほど強固になることは明白なのですが、そのようなパスワードは記憶することが困難です。なので、ユーザーがパスワードを決める場合には、「覚えやすいが破られにくい」というバランスをとることが重要です。
そのような方法として、選択肢の一つにパスフレーズがあります。パスフレーズとは、単語ではなく、文章の形でパスワードにすることです。パスフレーズは、単語としてのパスワードより長いので入力に手間は掛かるという欠点がありますが、覚えすくしやすいというメリットがあります。
しかし、パスフレーズが、その長さの分だけ単純計算で強固になるわけではありません。利用者がパスフレーズを使っていることがわかっている場合(あるいは仮定できる場合)、辞書攻撃によりパスワード推測が可能になる場合があります。なので、辞書に乗っているような単語だけからなる文章ではなく、少しひねったほうが良いと思います。例えば、英単語を日本語のローマ字に変えるなどです。単語としてのパスワードの場合、少しひねっただけではあまり安全にならないと言われます(たとえば a → @ の換字)が、パスフレーズに混ぜる単語の入れ替えだと、他の語句も同時に正答しなければいけないため、強固になる度合いは大きいです。
前述のように、パスフレーズ方式はメリットもあればデメリットもあるため、他の方式に比べて「明らかに優れている」というものではありません。利用者が、状況に応じて使い分ければよいのです。
そのような観点からサイト運営者(あるいはソフトウェアの企画・開発者)がパスワードの仕様を決める際に留意するべき点は、「利用者の様々なパスワードポリシーを尊重し、できるだけ邪魔しないようにする」ということです。日本のウェブサイトは、やたら文字種の制約が厳しい(例: 英字・数字・記号の3酒を全部混ぜること)のに、パスワード長の最大長が短い(例: 最大8文字)場合が多いので、利用者が様々なパスワードポリシーを採用することができません。たとえば、パスフレーズを採用することが難しいケースが多いです。
海外のウェブサイトだと、逆にパスワードの最大長が長く(例: 255文字)、パスワードの文字種はあまり制限しないケースが多いように見受けます(もちろん例外もあります)。私は、この方が望ましいと思います。
私自身は、パスワード管理ツールを使っているため、パスフレーズは使っていません。つまり、「覚えやすい必要がない」からです。パスワード管理ツールを使っている場合は、ランダムなパスワードを運用することが容易なので、過度に長くしなくても十分な強度が得られます。パスワード管理ツールの対応していない端末も使うことを考えると、過度に長いパスワードは使いづらいので、「ランダムにする代わりに長さはほどほど」のパスワードを使っています。
一方で、パスフレーズを使いたいというユーザーの希望も尊重されるべきであり、前記のようなパスワード仕様が望ましいと考える理由です。
投稿2017/09/28 00:22
総合スコア11701
0
漫画の方はビット数で数えているので総当りのようですね。
辞書を使った攻撃もあるので、どちらが時間がかかるか一概にはいえないのでは無いでしょうか。
と書いてから計算してみたら、結構な差がでました。
一般の辞書が数万語くらいでしょうから、少なく1万語で見積もって4個の単語で1×10^16のパターンがあります。また、記号交じりの方は2^28≒2.7×10^8ですから結構差が出ます。
パスワードの単語に固有名詞や英語以外を混ぜるとクラッキング用の辞書の単語数は桁が上がるでしょうから、実際には単語をたくさん使った方がずいぶん強固だとわかります。
自分で計算してみて「なるほどな~」と感心しました。
投稿2017/09/26 17:20
総合スコア2883
0
長さのようです
ダイスウェア パスフレーズ ホームページ
投稿2017/09/26 10:44
編集2017/09/26 10:47
総合スコア158
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。