パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

複数単語のパスワードがあれば、ネットは本当に安全なの?」記事へのコメント

  • 辞書アタックだけを避けるならアナグラム化すればいいんじゃないすかね。
    アナグラム化したということと元の単語を覚えておけば、忘れても自分で類推できると思うけどダメ?
    アナグラムをした上に記号や数字を割り入れるか置き換える化すれば、辞書からはどんどん離れていってパスワードハックに対する強度は上がるし。

    たとえば
    bluebird -> dbiulreb -> d6i?lre6

    #前にいた会社では初期パスワードの発行時にこれと似たようなことをしてた。

    • そのようにして作ったパスワードを、複数サイトで使い回ししてたら、あっさりハックされましたとさ。
      全サイトで別々にそうして作ったパス覚えるとかホント勘弁して欲しい。

      親コメント
      • どうやってハクられたのでしょうか、監視カメラで動画を取られたとかキーロガーかな。
        パスフレーズ使用可能文字制限とかに併せて数個のパスワードを用意して使っているけど、それでもどれかハックされたら厳しいっすね。
        生体認証とか併せて低コストで強度が高いのってある?

        親コメント
        • by Anonymous Coward
          複数のサイトで使っていたらそのうちのどれかが簡単にクラックされればそれで十分では?あとは辞書にのっけられて自動化されたプログラムがひたすら世界中の扉を叩きまくるだけ。
          • 「そのうちのどれかが簡単にクラックされれば」
            この前提があるとなにもかも無意味っぽくなりそう。
            で、どうしてます or どうすればいい?

            親コメント
            • 「 複数サイトで使い回し」をやめる。

              どんなに固いパスワードも、使い回した時点でアウトでしょう。

              親コメント
              • なるほど。
                でもすべてのサイトで個別のパスワードを設定して覚えることってできます?

                日常良く使うサイトを思いつくまま並べると
                Amazon,tsutaya,クロネコ、佐川急便、ゆうびん、銀行、クレカ会社、図書館・・・
                ぱっと思いついたのだけで30超えてます。
                実際に使っているパスワードは基本5つで、それに多少変形加えても10は無いくらい。
                日常良く使うサイトだとまず覚えているけど、ソレ以外たまにしか利用しないすぐに思い出せないサイトのパスワードだと基本のパスワードをどれかを当たるまで入れる。
                そういうのを含めて全部違うパスワードにするというのは、すっかり記憶力減退している私の頭だと無理ですね。(諦め)
                やるとしたらメモ帳かパスワードを管理するアプリなりなんなり併用することになるけど、それもなんだか危うい気がしています。

                会社にもいるけど、見ててほんと頭いいなと思ってしまっている人たちはたぶん全部変えて使ってるんでしょうね。
                この先年老いていくとパスワードが思い出せなくて困るシーンが増えそうだ。
                #パスワード忘れ問い合わせはありがたい。

                親コメント
              • 私の場合は、
                ・全サイト共通、秘密のパスフレーズ
                ・各サイト(サービス)個別の識別子
                を連結したものをハッシュ化し、それをパスワードにしています。

                例えば、パスフレーズがhogehoge、対象サイトが/.jなら、
                「hogehoge-slashdot.jp」のmd5ハッシュを取ると
                2a4c83905241482f3579a04266ded3b2
                になるので、これをBase64エンコードした
                KkyDkFJBSC81eaBCZt7Tsg==
                をパスワードにする、という感じ。

                これなら、パスワード管理アプリを使うのと違って、自身の頭の中だけで完結してますし、
                覚えておかなければないパスフレーズは一つだけで、しかも覚えやすい文字列で全然問題ないですし、
                あるパスワードが漏れても、そこから別サイトのパスワードが推測される心配はありません。

                ただ、「サイト個別の識別子」だけはブレがあると困ったことになるので、
                それだけは念のためメモってあります。

                #そういうパスワード変換生成を行うperlスクリプトを作ってあるんだけど、
                #それがない所でログインするのは困難というのが最大の問題だったり。

                親コメント
              • さすがです、ハッシュにエンコードまで・・・
                それならまず安全だ。
                #私の頭では絶対に無理 :-(

                親コメント
        • by Anonymous Coward

          > パスフレーズ使用可能文字制限とかに併せて数個のパスワードを用意して使っているけど、それでもどれかハックされたら厳しいっすね。

          それIDで書いちゃって大丈夫?

          • これで何か特定される?

            親コメント
            • by Anonymous Coward

              恐らくは意識されているので問題ないと思いますが、
              「nemui4さん」のメールアドレスが公開されているなら、アドレスをIDとして使っているサイトを跨ってハクられたりとか。

              • そうですね、その前提&キーとなるアナグラム前の単語郡がバレるとハックされるかもね。
                そしてプラスアルファの数字と記号は総当りする。
                #できるかな?

                親コメント
              • by Anonymous Coward

                アナグラムの手法の方は良いと思うんです。

                パスワードを使い回しされている発言と、それを個人として発言されているのが合わさると危ないかなと。
                「nemui4さんはパスワードを使い回ししている」
                「nemui4さんの使っているIDが推測できる」
                この二つの情報があると、nemui4さんが利用しているサービスの中の人は、自分のサービスで握っているnemui4さんのパスワードを持って、nemui4さんが使っていそうなサービスにチャレンジできる、という懸念で書きました。
                もちろん、実際のところは簡単に生パスワードを握れたりIDを推測できたりしないので、ここまで単純な話では無いですが。

開いた括弧は必ず閉じる -- あるプログラマー

処理中...