アカウント名:
パスワード:
もしユーザーに全部大文字や小文字にしたがる傾向があるとすれば、組み合わせ数が増えるメリットより、まず全部小文字・全部大文字で試行するブルートフォースアタックを受けたときの危険性増大というデメリットのほうがでかくなる。
元記事にある、「(パスワードを文字にするという)制約で1文字から7文字の長さのパスワードがすべて無効とされるからです。それによって、パスワードを破るのに必要な時間がなんと2277秒、つまり38分弱も短くなります(3548分に対して)」というのも同じ。「8文字じゃなくてもいいです」って言った日にゃ、3文字や4文字のパスワードに設定したバカが出てくるのがオチ。
「長いパスワードを使え」って結論はいいと思うけど、その前フリにしてもコレ必要な指摘か?って感じ。
まったくもって同意。
そもそも何も制限かけてなきゃ、楽なパスワードに逃げる人も増えるだろうから、英子文字のみのブルートフォースでも結構当たりを引けたりする。そうなると、26通り^8桁 = 2088億通りくらいをまずは試せばよくなる。
でも、組み合わせを強制すると、最大パターン数からは多少目減りはするとしても、数千兆通りにまで増えるなら十分に効果はあるよね。
でも弱いパスワードのユーザをブルートフォースで破れたら、強いパスワードを設定している他のユーザまでわざわざ破りには来ないでしょ?
ん? 私は「文字種制限は入れた方がいい」って主張してるつもりなんですがねぇ。
元記事の主張は、
「大文字/小文字/数字/記号の 95種を使えば、本来95^8=6600兆通りの表現が使えるはずなのに、複数文字種を強制すると小文字だけのパターンとか大文字だけのパターンは排除されることになり、結果として総パターン数が減ってしまう」
っていう事を主張しているわけですが、私の主張は
「そもそも文字種制限かけてなかったら 2000億通り程度のアタックで見破られてしまうパスワードを許してしまう事になるのだから、たとえMaxの6600兆通りよりも目減りしてしまったとしても、文字種制限かけて数千兆通りのパターンを堅持した方が結果として安全だよね?」
と主張してるつもりです。伝わりますかね?
あ、ACで投稿しちゃった...
ブルートフォース・辞書攻撃できる時点で負け
プラス辞書チェックは必要かもですね
パスフレーズ的には、辞書にある単語単品はNGだけど、ちょっと組み合せるのは強いのでアリという所かな
例弱い celebrate強い celebrate1231DOGBirthDay
https://password.kaspersky.com/jp/ [kaspersky.com]で確認したら「よく使われる文字組み合わせがあります」は出るが
このパスワードは、一般的な家庭用コンピューターを使って 次に示す期間のうちに解読されてしまいます
弱 12秒強 6088世紀
でした。
辞書ワードで12秒かかるのはおかしいのでは。。。
元記事がどうもそういう仮定らしいが、パスワードが8文字限定でそれより長くても短くてもいけないってケースは特殊なんじゃないか?通常ブルートフォースをやるなら、文字数によっては全文字種は計算量的に不可能になるから、記号を落とすとか、全て小文字に仮定するとか制限をかけるものだし、たいていのクラッカーにはそれ用のオプションがあるぞ。全て小文字を許可すると、全て小文字にするユーザが必ず一定数いるという心理的な問題があるのを無視してないだろうか。
>元記事がどうもそういう仮定らしいが、パスワードが8文字限定でそれより長くても2018年発の大NTTデータ様のユーザ向けプロダクトのパスワードは8文字以下限定だった。下限は知らない偉い人にはギリギリネジをまいといた(今までも何度もゆった)ので次回は更新されるかも。まあ5年後かな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
そりゃあ組み合わせは増えるかもしれないが (スコア:1)
もしユーザーに全部大文字や小文字にしたがる傾向があるとすれば、組み合わせ数が増えるメリットより、
まず全部小文字・全部大文字で試行するブルートフォースアタックを受けたときの危険性増大というデメリットのほうがでかくなる。
元記事にある、「(パスワードを文字にするという)制約で1文字から7文字の長さのパスワードがすべて無効とされるからです。
それによって、パスワードを破るのに必要な時間がなんと2277秒、つまり38分弱も短くなります(3548分に対して)」というのも同じ。
「8文字じゃなくてもいいです」って言った日にゃ、3文字や4文字のパスワードに設定したバカが出てくるのがオチ。
「長いパスワードを使え」って結論はいいと思うけど、その前フリにしてもコレ必要な指摘か?って感じ。
水は低きに流れる (スコア:1)
まったくもって同意。
そもそも何も制限かけてなきゃ、楽なパスワードに逃げる人も増えるだろうから、英子文字のみのブルートフォースでも結構当たりを引けたりする。
そうなると、26通り^8桁 = 2088億通りくらいをまずは試せばよくなる。
でも、組み合わせを強制すると、最大パターン数からは多少目減りはするとしても、数千兆通りにまで増えるなら十分に効果はあるよね。
Re: (スコア:0)
でも弱いパスワードのユーザをブルートフォースで破れたら、強いパスワードを設定している他のユーザまでわざわざ破りには来ないでしょ?
Re: (スコア:0)
ん? 私は「文字種制限は入れた方がいい」って主張してるつもりなんですがねぇ。
元記事の主張は、
「大文字/小文字/数字/記号の 95種を使えば、本来95^8=6600兆通りの表現が使えるはずなのに、複数文字種を強制すると小文字だけのパターンとか大文字だけのパターンは排除されることになり、結果として総パターン数が減ってしまう」
っていう事を主張しているわけですが、私の主張は
「そもそも文字種制限かけてなかったら 2000億通り程度のアタックで見破られてしまうパスワードを許してしまう事になるのだから、たとえMaxの6600兆通りよりも目減りしてしまったとしても、文字種制限かけて数千兆通りのパターンを堅持した方が結果として安全だよね?」
と主張してるつもりです。伝わりますかね?
Re:水は低きに流れる (スコア:1)
あ、ACで投稿しちゃった...
Re: (スコア:0)
ブルートフォース・辞書攻撃できる時点で負け
Re: (スコア:0)
プラス辞書チェックは必要かもですね
パスフレーズ的には、辞書にある単語単品はNGだけど、ちょっと組み合せるのは強いのでアリという所かな
例
弱い celebrate
強い celebrate1231DOGBirthDay
https://password.kaspersky.com/jp/ [kaspersky.com]
で確認したら「よく使われる文字組み合わせがあります」は出るが
このパスワードは、一般的な家庭用コンピューターを使って 次に示す期間のうちに解読されてしまいます
弱 12秒
強 6088世紀
でした。
M-FalconSky (暑いか寒い)
Re: (スコア:0)
辞書ワードで12秒かかるのはおかしいのでは。。。
Re: (スコア:0)
元記事がどうもそういう仮定らしいが、パスワードが8文字限定でそれより長くても短くてもいけないってケースは特殊なんじゃないか?通常ブルートフォースをやるなら、文字数によっては全文字種は計算量的に不可能になるから、記号を落とすとか、全て小文字に仮定するとか制限をかけるものだし、たいていのクラッカーにはそれ用のオプションがあるぞ。全て小文字を許可すると、全て小文字にするユーザが必ず一定数いるという心理的な問題があるのを無視してないだろうか。
Re: (スコア:0)
>元記事がどうもそういう仮定らしいが、パスワードが8文字限定でそれより長くても
2018年発の大NTTデータ様のユーザ向けプロダクトのパスワードは8文字以下限定だった。下限は知らない
偉い人にはギリギリネジをまいといた(今までも何度もゆった)ので次回は更新されるかも。まあ5年後かな