2003年、米国の業界規格設定を手掛ける国立標準技術研究所(NIST)の中間管理職だったバー氏は「NISTスペシャルパブリケーション800-63 別表A」を作成した。8ページのこの文書は、インターネットで使うアカウントを守る方法として、パスワードに記号や大文字や数字を盛り込み、定期的に変更するよう勧めていた。
連邦政府機関や大学や大手企業は、パスワード設定の規則を検討する際にこの文書を頼るようになった。
だがバー氏は、アドバイスは結果的にほとんど間違っていたと話す。90日ごとにパスワードを変更するとなると、推測されやすい小幅な変更にとどめる人が大半だという。「Pa55word!1」を「Pa55word!2」に変えただけではハッカーを防げない。
また、小文字や数字や大文字、感嘆符や疑問符などの特殊文字を組み合わせるという、指が絡まりそうなアドバイスも的外れだった。
> 既に退職したバー氏は「今では自分がしたことの多くを悔やんでいる」と話す。
> 「800-63」は今年6月に全面改定され、パスワードに関する指令の最悪の部分は捨て去られた。改定には2年かかった。作業を担当したNISTのポール・グラッシ氏によれば、改定は当初、簡単な編集で終わると考えられていた。
> いま世界に広まりつつある改定版には、パスワード期限のアドバイスはなく、特殊文字を必須条件にしていない。これらの規則はセキュリティーにほとんど役立たず、「使い勝手に悪影響を与えた」とグラッシ氏は述べている。
> 今では、おかしな文字列より長く覚えやすいフレーズの方が支持されている。NISTによると、ユーザーがパスワードを変更すべきなのは、盗まれた兆候があった時だけだ。
こちらによると小文字や大文字が交ざった認証番号よりも語句のていをなした認証番号のほうが支持されているそうです。"覚えやすい"ということもあると思うのですが
漫画家のランドール・マンロー氏は、広く見られている作品の中で、「correct horse battery staple」を1つの単語に見立てたパスワードを破るのに550年かかると計算している。これに対し、バー氏の古い規則を使った典型的なパスワードの一例、「Tr0ub4dor&3」は3日で破られる可能性がある。マンロー氏の計算はコンピューターセキュリティー専門家の検証を受けている。
この漫画家とそれに付き合った専門家によれば大文字、小文字、数字、記号が交じった認証番号よりも語句のような認証番号のほうが破りにくいそうです。これは、文字数が多いほうが総当たり攻撃に時間が掛かるからでしょうか。
それともほかに理由があるのでしょうか。
回答3件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。