アカウント名:
パスワード:
>その長さは少なくとも15文字で、その中には辞書に載っているような単語が含まれていても問題ない。
FBIの技術部門は、辞書に載っているような単語が含まれていても問題ない。
>・辞書に載っているような単語や「安全でないパスワード」の使用は禁止
NISTの提案では、辞書に載っているような単語の使用は禁止。
対立してた、どないするんやろ。
こちらは切に願います。
>大文字/小文字、特殊文字の混在を必須にする必要はない>パスワードを強制的に変更させる必要はない>パスワードの「ヒント」は許可しない
大事なのは桁数で強度が上がるということ
例えば頻出英単語4000語からランダムに「correct-horse-battery-staple」を選ぶと辞書攻撃を仮定しても「1234-0123-3210-1000」などと同等つまり4000^4≒2.6*10^14通りの探索空間になる(なおこの例示パスワードは有名なのでコピペして使ってはいけない)
これに対して英数大小記号(64通りとする)8文字だと64^8≒2.8*10^14通りなので同等の強度ということになり英単語を五単語に増やすと1.0*10^18通りとなり8文字英数記号はいくら覚えにくくしても全く勝ち目がなくなる
大事なのは見た目の複雑さや文字種ではなく桁数で強度が上がるということ
英単語はググった所100万語ぐらいあり、それが四つ続いているので
10^6^4=10^24
辞書攻撃をやるよりも総当たり攻撃をしたほうが早いレベル
ちゃんと読め。
>それよりも複数の単語から構成される長いパスワードを使う方が良いという。
だいたい、辞書に載ってて15文字を超えるような単語が、internationalization以外にどれぐらいあると思ってるんだ。
高木先生の2年前の推奨方法 [twitter.com]がそれに近い。自分で単語を選ぶと脆弱なので、5万語収録の辞書をパッと開いてランダムな単語にする。5万3≒2610 だから、辞書攻撃されても、アルファベット小文字10文字からなるランダムなパスワードへの総当たりと同じぐらいの耐性。
どうしても手軽すぎるのが気になるなら、単語の区切りを好みの記号なり数字なりアルファベットにすればより強力。
> だいたい、辞書に載ってて15文字を超えるような単語が、internationalization以外にどれぐらいあると思ってるんだ。
$ grep -E '^[a-z]{15,}$' /usr/share/dict/words | wc -l 12116
そのリストの出だし400語くらいをざっと見ましたけど、学問の専門用語と文法上正しいかどうかも怪しいような単語ばっかしですねえ。accommodatenessとかaccumulativenessってなんやねん。一般的な文章に出てくることがあるのはadministrational、administratorship、aerophotography, alphabetization, anachronistically, anesthesiologist, anesthetization, anthropological, anthropomorphic, anthropomorphizationくらいかなあ。あるにはあるけど比率はとても低い。
> accommodatenessとかaccumulativenessってなんやねん。
それこそ辞書引けよhttps://en.wiktionary.org/wiki/accommodateness [wiktionary.org]https://en.wiktionary.org/wiki/accumulativeness [wiktionary.org]
> あるにはあるけど比率はとても低い。1万あるんだから一単語増やすだけで四桁組み合わせが増えるそもそもこう言うのは「比率じゃなくて絶対数で考える」んだよ
アレゲや!
単語そのものはパスワードにできないが含まれているのは可
って読んだんだけど違う?
「a」を「@」に変えるとか「s」を「z」に変えるとかじゃないの?辞書に載っているような単語じゃない奴って。(hylom語とか)
#いや、俗語やスラングをパスワードにしろという指南だろうか?
パスワード辞書にはそんなありがちな置換全部載ってるよ
なるほど、FBIが言っている辞書と言うのは、「パスワード辞書」の事だったのですね。「パスワード辞書」に乗ってない単語をパスワードに使えば安全とFBIは仰られている。(ならばhylom語は最強だと思う)
#up up up in to the Sky.#今でも覚えてる英語の教科書にあったフレーズ。#母親に飲ませた柄杓の水には妖しいクスリが入ってたに違いない。
hylom語は再現性に問題が……。盤石だったとしても二度と入力できないでしょ。
hなんとかさんはネタとして、良くあるLeetを一部のみ適用する(例えば、"srad"に対して、"s7aI7"とする)は効果的な文字痴漢(なぜか変換できない)になるのでしょうか
桁数が多いパスワードに使えば更に強度が増すけど桁数の方を増やした上での気休めなのでそれで休まるならどうぞレベル
単語+α = OK単語 = NG
なら、ちゃんと両者は成立するだろ。
単なる、単語ありと単語無しやん
「単語を含む」って日本語を理解できないなら小学校からやりなおしてください。
対立してるかなあ?
「単語」そのものの使用は脆弱なので禁止する。(辞書に載ってる単語を繋げた)「パスフレーズ」を推奨。
という話じゃね。パスフレーズの話は随分昔からあったんでわ。
単語そのままはアカンけど、それを二語繋げるだけでも、組み合わせは二乗になるから。十分に長いフレーズなら解読は極めて困難になる。
いくら長いからといって、"Supercalifragilisticexpialidocious" (34文字、メアリー・ポピンズに出てきた長い単語)のような辞書に載っている単語はNGということでしょ>NIST提案
ちなみにsuper....dociousはそれまで存在しなかった嘘単語です。今英語辞書に載っているのは「メアリー・ポピンズ」で使われ普及したので、もはや嘘単語ではなく新しい造語として扱うべきと判断されたたからです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
辞書に載っているような単語 (スコア:1)
>その長さは少なくとも15文字で、その中には辞書に載っているような単語が含まれていても問題ない。
FBIの技術部門は、辞書に載っているような単語が含まれていても問題ない。
>・辞書に載っているような単語や「安全でないパスワード」の使用は禁止
NISTの提案では、辞書に載っているような単語の使用は禁止。
対立してた、どないするんやろ。
こちらは切に願います。
>大文字/小文字、特殊文字の混在を必須にする必要はない
>パスワードを強制的に変更させる必要はない
>パスワードの「ヒント」は許可しない
Re:辞書に載っているような単語 (スコア:1)
大事なのは桁数で強度が上がるということ
例えば頻出英単語4000語からランダムに「correct-horse-battery-staple」を
選ぶと辞書攻撃を仮定しても「1234-0123-3210-1000」などと同等
つまり4000^4≒2.6*10^14通りの探索空間になる
(なおこの例示パスワードは有名なのでコピペして使ってはいけない)
これに対して英数大小記号(64通りとする)8文字だと64^8≒2.8*10^14通り
なので同等の強度ということになり英単語を五単語に増やすと1.0*10^18通り
となり8文字英数記号はいくら覚えにくくしても全く勝ち目がなくなる
大事なのは見た目の複雑さや文字種ではなく桁数で強度が上がるということ
複数の単語に対して辞書攻撃をかけた場合 (スコア:0)
英単語はググった所100万語ぐらいあり、それが四つ続いているので
10^6^4=10^24
辞書攻撃をやるよりも総当たり攻撃をしたほうが早いレベル
Re:辞書に載っているような単語 (スコア:1)
ちゃんと読め。
>それよりも複数の単語から構成される長いパスワードを使う方が良いという。
だいたい、辞書に載ってて15文字を超えるような単語が、internationalization以外にどれぐらいあると思ってるんだ。
高木先生の2年前の推奨方法 [twitter.com]がそれに近い。
自分で単語を選ぶと脆弱なので、5万語収録の辞書をパッと開いてランダムな単語にする。
5万3≒2610 だから、辞書攻撃されても、アルファベット小文字10文字からなるランダムなパスワードへの総当たりと同じぐらいの耐性。
どうしても手軽すぎるのが気になるなら、単語の区切りを好みの記号なり数字なりアルファベットにすればより強力。
Re: (スコア:0)
> だいたい、辞書に載ってて15文字を超えるような単語が、internationalization以外にどれぐらいあると思ってるんだ。
$ grep -E '^[a-z]{15,}$' /usr/share/dict/words | wc -l
12116
Re: (スコア:0)
そのリストの出だし400語くらいをざっと見ましたけど、学問の専門用語と文法上正しいかどうかも怪しいような単語ばっかしですねえ。
accommodatenessとかaccumulativenessってなんやねん。
一般的な文章に出てくることがあるのはadministrational、administratorship、aerophotography, alphabetization, anachronistically, anesthesiologist, anesthetization, anthropological, anthropomorphic, anthropomorphizationくらいかなあ。あるにはあるけど比率はとても低い。
Re: (スコア:0)
> accommodatenessとかaccumulativenessってなんやねん。
それこそ辞書引けよ
https://en.wiktionary.org/wiki/accommodateness [wiktionary.org]
https://en.wiktionary.org/wiki/accumulativeness [wiktionary.org]
> あるにはあるけど比率はとても低い。
1万あるんだから一単語増やすだけで四桁組み合わせが増える
そもそもこう言うのは「比率じゃなくて絶対数で考える」んだよ
Re: (スコア:0)
アレゲや!
Re:辞書に載っているような単語 (スコア:1)
・兎に角長さを稼げ、
・辞書攻撃に用いられるような「単語のみ」はNG、
・覚える必要があるならば歌の歌詞のようなメジャーさが無い自分だけが分かる文章レベルまで単語を並べるのは有効、
と読み取りました。
passwordとかpass0123みたいなのは辞書攻撃に使われるメジャーな単語はNGですが、例えば色々な単語を組み合わせてpasswordintheskywithbuzzwordみたいなのにするのはOK、って事なのだと思います。
文字数が多ければ指数関数的に計算が増えるのでブルートフォースにも有効、文章のようにしてしまえば単純な辞書攻撃にも対処可能、って事みたいです。
前述の例も、文字数としては28文字ですが、要素はどれも一般的な英語で構成しています。
#ウチのWi-Fiのパスワードも単語を並べていますが、30文字くらいの意味不明な文字列になっているなぁ
Re: (スコア:0)
単語そのものはパスワードにできないが含まれているのは可
って読んだんだけど違う?
Re: (スコア:0)
「a」を「@」に変えるとか
「s」を「z」に変えるとかじゃないの?
辞書に載っているような単語じゃない奴って。(hylom語とか)
#いや、俗語やスラングをパスワードにしろという指南だろうか?
Re:辞書に載っているような単語 (スコア:1)
パスワード辞書にはそんなありがちな置換全部載ってるよ
Re: (スコア:0)
なるほど、FBIが言っている辞書と言うのは、「パスワード辞書」の事だったのですね。
「パスワード辞書」に乗ってない単語をパスワードに使えば安全とFBIは仰られている。
(ならばhylom語は最強だと思う)
#up up up in to the Sky.
#今でも覚えてる英語の教科書にあったフレーズ。
#母親に飲ませた柄杓の水には妖しいクスリが入ってたに違いない。
Re: (スコア:0)
hylom語は再現性に問題が……。盤石だったとしても二度と入力できないでしょ。
Re: (スコア:0)
hなんとかさんはネタとして、
良くあるLeetを一部のみ適用する
(例えば、"srad"に対して、"s7aI7"とする)は
効果的な文字痴漢(なぜか変換できない)になるのでしょうか
Re: (スコア:0)
桁数が多いパスワードに使えば更に強度が増すけど
桁数の方を増やした上での気休めなのでそれで休まるならどうぞレベル
Re: (スコア:0)
単語+α = OK
単語 = NG
なら、ちゃんと両者は成立するだろ。
Re: (スコア:0)
単なる、単語ありと単語無しやん
Re: (スコア:0)
「単語を含む」って日本語を理解できないなら
小学校からやりなおしてください。
Re: (スコア:0)
対立してるかなあ?
「単語」そのものの使用は脆弱なので禁止する。
(辞書に載ってる単語を繋げた)「パスフレーズ」を推奨。
という話じゃね。パスフレーズの話は随分昔からあったんでわ。
単語そのままはアカンけど、それを二語繋げるだけでも、組み合わせは二乗になるから。
十分に長いフレーズなら解読は極めて困難になる。
Re: (スコア:0)
いくら長いからといって、"Supercalifragilisticexpialidocious" (34文字、メアリー・ポピンズに出てきた長い単語)のような辞書に載っている単語はNGということでしょ>NIST提案
Re: (スコア:0)
ちなみにsuper....dociousはそれまで存在しなかった嘘単語です。今英語辞書に載っているのは「メアリー・ポピンズ」で使われ普及したので、もはや嘘単語ではなく新しい造語として扱うべきと判断されたたからです。