パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

複数単語のパスワードがあれば、ネットは本当に安全なの?」記事へのコメント

  • 利用者の不安は解消されないなぁ。
    たとえば、Googleには100文字のランダム文字列を使ってるけど、粘着に標的にされたら破られるでしょう。
    各サイトには、ログイン履歴(少なくとも過去数回の日時とIPくらいは)の閲覧サービスは提供してほしいと思う。

    • 100文字ならまず間違いなく大丈夫ですw
      たとえアルファベット小文字だけでも、26 ^ 100 ≒ 3.1 x 10^141 程度。 世界中にコンピュータを配置して1秒に100000000回ログインを試行できると仮定しても、すべての空間を試すのに 100000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000年以上粘着する必要があります。
      実際には記号数字も加えて更に文字が増えますし、あまりに頻繁にログインを試行するとしばらくロックされるでしょう。
      親コメント
      • mukashimukashiarutokoroniojiisantoobaasangaimashitaojiisanhayamaheshibakereniobaasanhakawahesentakuniikimashita

        111文字、なんだ簡単じゃないか

        #一文字間違ってるのはナイショだw

        親コメント
      • by Anonymous Coward

        でもさ、キーロガーしこまれたPCからログインするはめになったり、フィッシングサイトにひっかかったりする可能性も0じゃないしね。
        一瞬で抜かれるかも。

        • フィッシングとか人的なミスはどうしたらいいんだろね。人的なミスでも盗まれないシステムといえば、やはり指紋認証とか筆跡認証とかか。
          でもルパン三世なら指紋を写しとった手袋で指紋認証システム突破するしなw
          親コメント
          • ワンタイムトークンでいかがですか?
            フィッシングサイトに入力したパスワードがワンタイムトークンから発行された物であれば、
            そのパスワードをいざ本番環境で悪用しようとした時には無効になっています。

            ワンタイムトークンのアルゴリズムが盗まれなければいいんですがね。

            親コメント
            • ワンタイムトークンでもフィッシングは防げないんじゃないかな。フィッシングサイトがパスワードを受け取ったのと同時に、当該サイトのアクセスして情報を洗いざらい盗み出しておけばいい。フィッシングサイトと連動して自動的に不正アクセスするシステムを作るのは技術的にはまったく難しくはない。同じパスワードで2度目のアクセスは不可能だけど、損害を生じさせるのには1回でも不正アクセスできれば十分だと思うよ。

              でもよく考えたら指紋認証でもフィッシングは防げないや。指紋の情報をフィッシングサイトに送ってしまえば同じ事だ。
              親コメント
              • パスワードは向こうがこちらを認証する手段です。
                フィッシングなどの中間者攻撃を避けるには、こちらが向こうを認証することです。
                というわけでSSLです。
                ただ、証明書やURLを目視で確認は見落としたり騙されたりする。
                これの簡単な対策は、パスワード入れるときはブックマークとか使って決められたドメインにアクセスすること。
                あと、以前はPetname Tool [mozilla.org]使ってたんですが、対応がfirefox3.6までだし、chromeに移ったしでもう使ってない。
                似た様なの何かないかな。

                あと、別の問題はありますが、ブラウザとかにパスワード覚えさせておけば、URLとの対で覚えてるからURLの違いに気付ける。
                ただ、javascriptとかで最近そういうのが出来ないサイト増えてきた。

                しかし、スパイウェアやルートキット相手だとどうしようもないですね。オンラインでつながってるだけでもリスクですし。
                結局、こだわりすぎると究極には使わないという方向になってしまう。
                逆に言えば、そのレベルのリスクは許容範囲ともいえる。

                親コメント
          • by Anonymous Coward

            盗まれても簡単に使えないようにできればいいと思うんだよね。
            他の認証機構を使おうとしても、設備が普及してないせいでなかなか使えないけど、普通のパスワードの仕組みでも、たとえばIPなど接続情報と組み合わせて認証を通すってのは、ときどき見かけるよね。
            ソニー銀行とかその系統かな。接続端末が制限されることになるけど、そんなにデバイス所有してないしね。
            Googleも、ちょっと系統違うけど、携帯経由で発番された情報と組み合わせるとかやっているね。こっちはちょっと面倒だけど。

            • http://moneykit.net/visitor/service_info/service_info01.html#sec03 [moneykit.net]
              ソニー銀行のシステムを調べてみた。ログインする前に端末というかブラウザを登録するんだけど、 その時にパスワードとは別に、9文字以内のひらがなかカタカナで事前に登録しておいた質問の「答え」を 入力するんだね。当然「答え」は単語1個だろうから辞書攻撃に弱いし、攻撃者が身近な人間なら答えを推測できる可能性が高い。 「答え」がセキュリティとしてどのくらいの強度を持っているか客観的に評価できないので、これをセキュリティとして採用すべきではない。「秘密の質問」はよくあるシステムだけど愚策だね。
              参考: http://security.srad.jp/story/11/01/18/0828241/ [srad.jp]

              Google の登録時に携帯を使わせるのは CAPTCHA の一種じゃなかったかな?
              親コメント
          • by Anonymous Coward
            ルパン三世でなくても指紋はシリコンやグミで偽造できるからね。

            そもそもパスワードは破られたときに変更可能でないといけないけど
            指紋を含めた生体認証は変更可能じゃないからパスワードの代替にはならないんだよね、
            どっちかというとユーザーID。
      • by Anonymous Coward

        でも、「a」100文字だったら一発でビンゴ!1秒もかからずに解析完了となりますよ。
        まぁパスワードが「z」100文字で、頭から昇順に調べていくのであればそんだけかかりますが・・・
        パスワード解析ソフトってそこまで考えて調べますから、意外と早い段階でヒットしてしまう可能性はあると思います。

        #ここのパスワードさえ思い出せずに・・・AC・・・

        • by Anonymous Coward

          100文字の「ランダム文字列」であって、解析ソフトの手掛かりとなるような偏りのあるパスワードの話じゃ無いのでは。

犯人はmoriwaka -- Anonymous Coward

処理中...