アカウント名:
パスワード:
motionsubaru360exporttanuki(motion/subaru360/export/tanuki)なんて辞書にある言葉やネット上で容易かつ大量に収集できるようなありきたりな言葉を連結しただけのパスワードでも大丈夫なのか?
たとえば…
- 63種類の文字から8文字 = 63^8 = 2.5*10^14
- 1万種類の単語から4語 = 1万^4 = 1.0*10^16
ちゃんとランダムに選んだ語ならそれなりに強いんじゃないでしょうか。
各ビットをランダムに選んだ語ですか?そりゃ強いでしょうね覚え溶ける気がしませんが
> 各ビットをランダムに選んだ語ですか?これの意味が解らんのだがボケなのかしら
語=word=short int なので例えば 0x0111010111010001
あ、そういう…
ASCIIなら最上位ビットは0固定だよな
>覚え溶ける
文脈的に正しく思える。
1万語から五語選んで「垣根 蜜柑 里芋 大根 梯子」というパスワードを作ったとすると、例えば”0032 0134 0645 0572 7259”と同じくらいの強度がある覚える方は5語だけど攻撃側にとっては1020通りのパターンを攻めることになる だから十分強い
そのためのパスワードマネージャ
なんか変な議論じゃない?
そりゃランダムに選べば強いのは当然で、ユーザーが1万語もの単語をランダムに選んでくれる前提なら、英数字のパスワードだってランダムに選んでくれるだろうし、それが期待できるならそもそも必要以上に長くする必要もなく、こんな啓蒙活動も不要だろう。
結局、その人の語彙能力の範囲の単語が選ばれることが大部分と思われるし、日常生活で利用頻度の多い単語がパスワードでも利用頻度が高いだろうし、おそらく言語として意味のある単語が、意味のある順序で並べられる傾向が生じるだろう。そのようなパスワードが、今のパスワードの作り方と比較して、より強固になるといえるどうかは未知数では?
個人的にはどっちもどっちな気がしていて、何らかの実験なりフィールドワークなりで検証して結論を出すべき事項に思える。
それなら1000種類の単語から5語でも、ランダム8文字と同等以上ですよ。単語の綴りを1文字だけわざと間違えるという方法でも、簡単に語彙数を増やせますし。
そういった作られ方のパスワードが多いならば、それを狙った攻撃アルゴリズム(もしくはAI)が作られるでしょうね。結局の所、そういった攻撃の盲点や弱点を狙ってパスワード作るのが強いって言うだけの話ですので。
//そして覚えにくいので付箋紙に書かれる
確かこの手法の話題のどっかで「試しに紹介したらみんなTo be or not to beとかその他有名なフレーズにしてきやがった」みたいな話があったんですよね…。それでも英数8文字よりは強いとも思うけど。(要は「password」とか「12345678」とか設定するような人がやってるわけで、そんなでもtobetobetenmadetobeの方が”いくらか”マシなわけで)
パスフレーズという奴すね。人力で生成すると語が限定されるのでジェネレータ使った方が良いとは思う。
パスフレーズ vs. パスワード Part 1 [microsoft.com], Part 2 [microsoft.com], Part 3 [microsoft.com]
数学と論理が 5 または 6 語のパスフレーズは、完全にランダムな 9 文字のパスワードとおおよそ強度は同じであることを示しているように思えます。ほとんどの人にとって、完全にランダムな 9 文字のパスワードよりも 6 語のパスフレーズを覚える事の方が容易であり、その点においてパスフレーズはパスワードよりも優れているように思われます。
>人力で生成すると語が限定されるのでたしかに太古の昔、MoonMercuryMarsとかMoonPrismPowerMakeUpというパスフレーズがいたるところで量産された事がありましたね。
ジェネレータが作ったフレーズを覚えられるんならね。俺には無理。
ジェネレータが作った、完全ランダム文字のパスワードよりは覚えやすいと思う。
JPCERTの説明はほぼこれ。
xkcd: Password Strength https://xkcd.com/936/ [xkcd.com]
5年以上前からあったと思うけど、それがやっと有効と認知されたのかー、なんて。
世の中の人が全員猫好きとは限らないから
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
辞書にある言葉の連結 (スコア:0)
motionsubaru360exporttanuki(motion/subaru360/export/tanuki)なんて辞書にある言葉やネット上で容易かつ大量に収集できるようなありきたりな言葉を連結しただけのパスワードでも大丈夫なのか?
Re:辞書にある言葉の連結 (スコア:3)
たとえば…
- 63種類の文字から8文字 = 63^8 = 2.5*10^14
- 1万種類の単語から4語 = 1万^4 = 1.0*10^16
ちゃんとランダムに選んだ語ならそれなりに強いんじゃないでしょうか。
Re: (スコア:0)
各ビットをランダムに選んだ語ですか?
そりゃ強いでしょうね
覚え溶ける気がしませんが
Re:辞書にある言葉の連結 (スコア:2)
> 各ビットをランダムに選んだ語ですか?
これの意味が解らんのだがボケなのかしら
Re: (スコア:0)
語=word=short int なので例えば 0x0111010111010001
Re:辞書にある言葉の連結 (スコア:2)
あ、そういう…
Re: (スコア:0)
ASCIIなら最上位ビットは0固定だよな
的確な表現だ (スコア:1)
>覚え溶ける
文脈的に正しく思える。
Re: (スコア:0)
1万語から五語選んで「垣根 蜜柑 里芋 大根 梯子」というパスワードを作ったとすると、例えば”0032 0134 0645 0572 7259”と同じくらいの強度がある
覚える方は5語だけど攻撃側にとっては1020通りのパターンを攻めることになる だから十分強い
Re: (スコア:0)
そのためのパスワードマネージャ
Re: (スコア:0)
なんか変な議論じゃない?
そりゃランダムに選べば強いのは当然で、ユーザーが1万語もの単語をランダムに選んでくれる前提なら、
英数字のパスワードだってランダムに選んでくれるだろうし、それが期待できるならそもそも必要以上に長くする必要もなく、こんな啓蒙活動も不要だろう。
結局、その人の語彙能力の範囲の単語が選ばれることが大部分と思われるし、日常生活で利用頻度の多い単語がパスワードでも利用頻度が高いだろうし、
おそらく言語として意味のある単語が、意味のある順序で並べられる傾向が生じるだろう。
そのようなパスワードが、今のパスワードの作り方と比較して、より強固になるといえるどうかは未知数では?
個人的にはどっちもどっちな気がしていて、何らかの実験なりフィールドワークなりで検証して結論を出すべき事項に思える。
Re: (スコア:0)
それなら1000種類の単語から5語でも、ランダム8文字と同等以上ですよ。
単語の綴りを1文字だけわざと間違えるという方法でも、簡単に語彙数を増やせますし。
Re: (スコア:0)
そういった作られ方のパスワードが多いならば、それを狙った攻撃アルゴリズム(もしくはAI)が作られるでしょうね。
結局の所、そういった攻撃の盲点や弱点を狙ってパスワード作るのが強いって言うだけの話ですので。
//そして覚えにくいので付箋紙に書かれる
Re: (スコア:0)
確かこの手法の話題のどっかで
「試しに紹介したらみんなTo be or not to beとかその他有名なフレーズにしてきやがった」
みたいな話があったんですよね…。
それでも英数8文字よりは強いとも思うけど。
(要は「password」とか「12345678」とか設定するような人がやってるわけで、そんなでもtobetobetenmadetobeの方が”いくらか”マシなわけで)
Re:辞書にある言葉の連結 (スコア:1)
パスフレーズという奴すね。人力で生成すると語が限定されるのでジェネレータ使った方が良いとは思う。
パスフレーズ vs. パスワード Part 1 [microsoft.com], Part 2 [microsoft.com], Part 3 [microsoft.com]
数学と論理が 5 または 6 語のパスフレーズは、完全にランダムな 9 文字のパスワードとおおよそ強度は同じであることを示しているように思えます。ほとんどの人にとって、完全にランダムな 9 文字のパスワードよりも 6 語のパスフレーズを覚える事の方が容易であり、その点においてパスフレーズはパスワードよりも優れているように思われます。
Re: (スコア:0)
>人力で生成すると語が限定されるので
たしかに太古の昔、MoonMercuryMarsとかMoonPrismPowerMakeUpという
パスフレーズがいたるところで量産された事がありましたね。
Re: (スコア:0)
ジェネレータが作ったフレーズを覚えられるんならね。
俺には無理。
Re: (スコア:0)
ジェネレータが作った、完全ランダム文字のパスワードよりは覚えやすいと思う。
Re: (スコア:0)
JPCERTの説明はほぼこれ。
xkcd: Password Strength https://xkcd.com/936/ [xkcd.com]
5年以上前からあったと思うけど、それがやっと有効と認知されたのかー、なんて。
Re: (スコア:0)
Re: (スコア:0)
世の中の人が全員猫好きとは限らないから